21 世 纪 高 等 学 校 计算 机 会 实用 规划 教材 


计算 机 网 络 安全 技术 


VV 


清华 大 学 出 版 社 


21 世纪 高 等 学 校 计算 机 专业 实用 规划 教材 


计算 机 网 络 安全 技术 


王 群 编著 


清华 大 学 出 版 社 
北京 


内 容 简 介 

本 书 是 一 本 面向 普通 高 等 院 校本 科教 学 要 求 的 教材 ,是 理论 与 实践 有 机 结合 的 研究 成 果 , 也 是 作者 长 
期 从 事 计 算 机 网 络 教 学 、 网 络 安全 设计 、 网 络 管理 与 维护 的 经 验 总 结 。 为 了 使 内 容 安 排 符 合 教学 要 求 , 并 
尽 可 能 地 贴近 实际 应 用 ,解决 实际 问题 ,本 书 在 内 容 选 择 上 既 注重 基本 理论 和 概念 的 讲述 ,又 紧 紧 抓 住 目 
前 网 络 安全 领域 的 关键 技术 和 用 户 普遍 关注 的 热点 问题 ,对 内 容 进行 了 合理 规划 。 

本 书 共 分 9 章 , 主 要 内 容 包 括 计 算 机 网 络 安全 概述 ,数据 加 密 技术 及 应 用 、PKI/PMI 技术 及 应 用 、 身 份 
认证 技术 、TCP/IP 体系 的 协议 安全 ,计算 机 病毒 ,木马 和 间谍 软件 与 防治 、 网 络 攻 击 与 防范 、 防 火 墙 技术 及 
应 用 、VPN 技术 及 应 用 等 。 

本 书 主要 针对 普通 高 等 院 校 计算 机 及 相关 专业 本 科 层 次 的 教学 要 求 而 编写 ,其 中 大 量 的 实 训 内 容 可 
供 高 职高 专 和 有 关 培 训 机 构 使 用 ,本 书 也 可 供 从 事 网 络 安全 设计 和 管理 的 技术 人 员 阅 读 、 参 考 。 
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出 版 说明 


随 着 我 国 改革 开放 的 进一步 深化 ,高 等 教育 也 得 到 了 快速 发 展 ,各 地 高 校 紧密 结合 地 方 
经 济 建 设 发 展 需要 ,科学 运用 市 场 调节 机 制 ,加 大 了 使 用 信息 科学 等 现代 科学 技术 提升 、 改 
造 传统 学 科 专 业 的 投入 力度 ,通过 教育 改革 合理 调整 和 配置 了 教育 资源 ,优化 了 传统 学 科 专 
业 , 积 极为 地 方 经 济 建设 输送 人 才 ,为 我 国 经 济 社会 的 快速 、 健 康 和 可 持续 发 展 以 及 高 等 教 
育 自身 的 改革 发 展 做 出 了 巨大 贡献 。 但 是 ,高 等 教育 质量 还 需要 进一步 提高 以 适应 经 济 社 
会 发 展 的 需要 ,不 少 高 校 的 专业 设置 和 结构 不 尽 合理 ,教师 队伍 整体 素质 陂 待 提高 ,人 才 培 
养 模 式 .教学 内 容 和 方法 需要 进一步 转变 ,学 生 的 实践 能 力 和 创新 精神 阴 待 加 强 。 

教育 部 一 直 十 分 重视 高 等 教育 质量 工作 。2007 年 1 月 ,教育 部 下 发 了 (关于 实施 高 等 
学 校本 科教 学 质量 与 教学 改革 工程 的 意见 》, 计 划 实 施 “ 高 等 学 校本 科教 学 质量 与 教学 改革 
工程 (简称 “质量 工程 ')”, 通 过 专业 结构 调整 .课程 教材 建设 .实践 教 学 改革 、 教 学 团队 建设 
等 多 项 内 容 , 进 一 步 深化 高 等 学 校 教学 改革 ,提高 人 才 培 养 的 能 力 和 水 平 ,更 好 地 满足 经 济 
社会 发 展 对 高 素质 人 才 的 需要 。 在 贯彻 和 落实 教育 部 “质量 工程 "的 过 程 中 ,各 地 高 校 发 控 
师资 力量 强 、 办 学 经 验 丰富 .教学 资源 充裕 等 优势 ,对 其 特色 专业 及 特色 课程 ( 群 ) 加 以 规划 、 
整理 和 总 结 ,更 新 教学 内 容 、 改 革 课 程 体系 ,建设 了 一 大 批 内 容 新 、 体 系 新 、 方 法 新 、 手 段 新 的 
特色 课程 。 在 此 基础 上 ,经 教育 部 相关 教学 指导 委员 会 专家 的 指导 和 建议 ,清华 大 学 出 版 社 
在 多 个 领域 精 选 各 高 校 的 特色 课程 ,分 别 规划 出 版 系列 教材 ,以 配合 “质量 工程 ”的 实施 , 满 
足 各 高 校 教学 质量 和 教学 改革 的 需要 。 

本 系列 教材 立足 于 计算 机 专业 课程 领域 ,以 专业 基础 课 为 主 、 专 业 课 为 辅 ,横向 满足 高 
校 多 层次 教学 的 需要 。 在 规划 过 程 中 体现 了 如 下 一 些 基本 原则 和 特点 。 

(1) 反映 计算 机 学 科 的 最 新 发 展 ,总 结 近年 来 计算 机 专业 教学 的 最 新 成 果 。 内 容 先 进 ， 
充分 吸收 国外 先进 成 果 和 理念 。 

(2) 反映 教学 需要 ,促进 教学 发 展 。 教材 要 适应 多 样 化 的 教学 需要 ,正确 把 握 教学 内 容 
和 课程 体系 的 改革 方向 ,融合 先进 的 教学 思想 、 方 法 和 手段 ,体现 科学 性 、 先 进 性 和 系统 性 ， 
强调 对 学 生 实 践 能 力 的 培养 ,为 学 生 知识 、 能 力 .素质 协调 发 展 创造 条 件 。 

(3) 实施 精品 战略 ,突出 重点 ,保证 质量 。 规 划 教材 把 重点 放 在 公共 基础 课 和 专业 基础 
课 的 教材 建设 上 ; 特别 注意 选择 并 安排 一 部 分 原来 基础 比较 好 的 优秀 教材 或 讲义 修订 再 
版 ,逐步 形成 精品 教材 ;提倡 并 鼓励 编写 体现 教学 质量 和 教学 改革 成 果 的 教材 。 

(4) 主张 一 纲 多 本 ,合理 配套 。 专 业 基 础 课 和 专业 课 教 材 配套 ,同一 门 课 程 可 以 有 针对 
不 同 层次 .面向 不 同 应 用 的 多 本 具有 各 自 内容 特 点 的 教材 。 处 理 好 教材 统一 性 与 多 样 化 , 基 
本 教材 与 辅助 教材 ,教学 参考 书 ,文字 教材 与 软件 教材 的 关系 ,实现 教材 系列 资源 配套 。 

(5) 依靠 专家 ,择优 选用 。 在 制定 教材 规划 时 依靠 各 课程 专家 在 调查 研究 本 课程 教材 
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建设 现状 的 基础 上 提出 规划 选 题 。 在 落实 主编 人 选 时 ,要 引入 竞争 机 制 , 通 过 申报 、 评 审 确 
定 主编 。 书 稿 完 成 后 要 认真 实行 审 稿 程序 ,确保 出 书 质量 。 

繁荣 教材 出 版 事业 ,提高 教材 质量 的 关键 是 教师 。 建 立 一 支 高 水 平 教材 编写 梯队 才能 
保证 教材 的 编写 质量 和 建设 力度 ,希望 有 志 于 教材 建设 的 教师 能 够 加 入 到 我 们 的 编写 队伍 
中 来 。 


21 世纪 高 等 学 校 计算 机 专业 实用 规划 教材 
联系 人 : 魏 江 江 weijj@tup. tsinghua. edu. cn 


如 今 ,计算 机 网 络 的 应 用 已 延伸 到 全 球 的 各 个 角落 和 领域 ,正在 对 人 们 的 工作 .生活 产 
生前 所 未 有 的 影响 ,如 同 电力 、 交 通 一 样 日 益 成 为 人 们 生活 中 不 可 缺少 的 组 成 部 分 。 与 此 同 
时 , 随 着 网 络 规模 的 不 断 扩大 ,以 及 人 们 对 网 络 知识 的 了 解 越 来 越 深 入 ,网 络 中 的 攻击 等 不 
安全 因素 越 来 越 多 ,已 经 严重 威胁 到 网 络 与 信息 的 安全 。 计 算 机 网 络 的 安全 已 经 成 为 一 个 
备 受 全 球 关注 的 问题 。 

计算 机 网 络 与 信息 安全 技术 的 核心 问题 是 对 计算 机 和 网 络 系统 进行 有 效 的 防护 。 网 络 
安全 防护 涉及 的 面 非常 广 ,从 技术 层面 上 分 ,主要 包括 数据 加 密 、 身 份 认 证 .入 侵 检 测 、 入 侵 
保护 ,病毒 防护 和 虚拟 专用 网 等 方面 ,这 些 技术 中 有 些 是 主动 防御 ,有 些 是 被 动 保护 ,有 些 则 
是 为 安全 研究 提供 支撑 和 平台 。 本 书 在 写作 过 程 中 强调 了 以 下 几 点 。 

一 是 尽 可 能 用 通俗 易 懂 的 语言 来 描述 上 涩 的 理论 阐述 。 在 计算 机 网 络 安全 这 门 课程 中 
涉及 到 了 大 量 的 概念 ,理论 体系 、 算 法 和 协议 ,如 何 用 通俗 易 懂 的 语言 来 描述 这 些 抽象 的 专 
业 术 语 是 本 书 的 一 个 侧重 点 。 为 此 ,在 写作 过 程 中 作者 尽 可 能 用 简捷 明快 的 语言 来 阐述 理 
论 ,而 不 是 照搬 文献 和 标准 文档 。 

二 是 通过 大 量 直 观 的 图 例 来 描述 复杂 的 工作 原理 和 操作 流程 。 在 一 些 国家 的 计算 机 专 
业 教 育 中 ,有 图 解 (diagram) 或 映像 (map) 这 门 课 , 旨 在 通过 易于 理解 的 图 例 来 直观 地 描述 
网 络 的 结构 .工作 流程 及 实现 原理 。 本 书 在 写作 过 程 中 采用 了 大 量 的 图 例 和 表格 来 描述 复 
杂 的 网 络 安全 实现 原理 。 

三 是 理论 与 实践 的 有 机 结合 。 理 论 与 实践 之 间 的 脱节 是 目前 许多 计算 机 专业 教材 普遍 
存在 的 问题 ,有 些 教材 过 于 强调 理论 阐述 而 忽视 实践 操作 ,而 有 些 图 书 则 只 注重 讲述 操作 步 
又 而 忽视 了 理论 讲解 。 本 书 一 方面 强调 对 基本 概念 ,理论 ,算法 和 协议 的 讲解 ,同时 尽 可 能 
地 通过 实际 操作 来 验证 相关 的 理论 。 

四 是 内 容 新 颖 翔实 。 计 算 机 网 络 技术 的 发 展 非常 迅速 ,为 了 使 学 生 在 走出 校门 后 能 够 
将 所 学 知识 应 用 到 具体 工作 中 ,在 教材 内 容 的 选择 上 必须 考虑 到 与 实际 应 用 之 间 的 有 机 结 
合 。 本 书 在 写作 过 程 中 参阅 了 大 量 的 研究 成 果 和 文献 资料 ,以 求 内 容 新 颖 ,讲解 翔实 。 

五 是 注重 内 容 讲解 时 的 完整 性 。 网 络 安 全 涉及 的 面 较 广 ,许多 应 用 的 实现 需要 大 量 理 
论 的 支持 。 本 书 在 写作 过 程 中 充分 考虑 到 内 容 完 整 性 ,对 所 涉及 到 的 但 在 本 书 中 没有 单独 
讲述 的 内 容 进行 了 实时 介绍 或 给 出 了 文献 出 处 ,以 便 读者 查阅 。 

本 书 共 分 为 9 章 ,主要 内 容 包 括 计算 机 网 络 安全 概述 、 数 据 加 密 技 术 及 应 用 、PKI/PMI 
技术 及 应 用 、 身 份 认 证 技术 、TCP/IP 体系 的 协议 安全 .计算 机 病毒 .木马 和 间谍 软件 与 防 
治 、 网 络 攻击 与 防范 .防火墙 技术 及 应 用 和 VPN 技术 及 应 用 等 内 容 。 

在 本 书 的 编写 过 程 中 ,作者 参考 了 大 量 的 国内 外 文献 资料 ,其 中 部 分 文献 的 出 处 并 未 全 
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部 列 出 。 对 涉及 到 的 每 一 个 实验 操作 都 在 实验 室 或 真实 网 络 环境 中 进行 了 测试 ,以 保证 实 
验 操 作 步 又 和 内 容 的 正确 性 。 其 中 ,部 分 实验 和 应 用 来 自作 者 单位 真实 的 网 络 环境 。 

在 本 书 编写 过 程 中 ,得 到 了 清华 大 学 出 版 社 的 大 力 支 持 , 也 得 到 了 作者 家 人 及 很 多 同事 
的 帮助 ,其 中 李 毕 娟 、 郭 亚 峰 , 刘 庆 航 、 宋 玲 华 , 张 卫 东 、 聂 明 辉 和 陶 慎 亮 等 老师 负责 了 部 分 实 
验 的 测试 和 文字 的 校对 工作 , 借 此 机 会 向 他 们 表示 衷心 的 感谢 。 由 于 作者 研究 水 平 有 限 , 书 
中 难免 还 存在 一 些 缺 点 和 错误 ,殷切 希望 广大 教师 .科研 人 员 和 读者 批评 指正 。 

计算 机 网 络 安全 与 计算 机 网 络 管理 属于 同一 范畴 的 两 个 研究 和 应 用 分 支 ,两 者 之 间 的 
联系 非常 紧密 ,而 且 都 在 快速 地 发 展 。 为 此 ,作者 同时 编写 了 《计算 机 网 络 管理 技术 》 一 书 ， 
并 由 清华 大 学 出 版 社 出 版 。 
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第 1 章 计算 机 网 络 安全 概述 


今天 ,IP 网 络 几乎 成 为 现代 计算 机 网 络 的 代名词 。IP 网 络 存在 的 设计 缺陷 和 安全 隐患 
也 逐渐 暴露 出 来 。 随 着 计算 机 网 络 应 用 范围 的 不 断 扩展 ,大 量 基于 IP 网 络 的 应 用 层 出 不 
穷 ,这 更 加 剧 了 网 络 的 负担 ,安全 问题 越 加 突出 。 本 章 以 IP 网 络 为 主 ,将 从 网 络 安全 概念 、 
安全 现状 .安全 策略 和 热点 技术 等 方面 ,对 计算 机 网 络 的 安全 进行 综述 性 介绍 。 


1.1 计算 机 网 络 安全 研究 的 动因 


现在 广泛 使 用 的 基于 IPv4 通信 协议 的 网 络 ,在 设计 之 初 就 存在 着 大 量 缺 陷 和 安全 隐 
患 。 虽 然 下 一 个 版 本 IPv6 在 一 定 程度 上 将 解决 IPv4 中 存在 的 安全 问题 ,但 是 IPv6 走向 全 
面 应 用 还 需要 较 长 的 时 间 。 同 时 ,从 IPv4 网 络 的 应 用 历史 来 看 ,许多 安全 问题 也 是 随 着 应 
用 的 出 现 而 暴露 出 来 的 ,所 以 不 能 肯定 地 讲 IPv6 网 络 的 应 用 就 一 定 能 够 解决 IPv4 中 存在 
的 所 有 安全 问题 。 


1.1.1 网 络 自身 的 设计 缺陷 


如 果 对 比分 析 PSTN ATM 和 FR 等 网 络 技术 ,就 会 发 现 IP 网 络 在 设计 上 存在 的 不 足 
或 缺陷 。TCP/IP 通信 协议 自 20 世纪 60 年 代 末 诞 生 以 来 ,已 经 历 了 30 多 年 的 实践 检验 ， 
并 成 为 Internet 的 基础 。TCP/IP 通信 协议 的 不 断 发 展 和 完善 促进 了 Internet 的 发 展 ,同时 
Internet 的 发 展 又 进一步 扩大 了 TCP/IP 通信 协议 的 影响 。 目 前 ,几乎 所 有 厂商 的 网 络 产 
品 都 支持 TCP/IP, 如 硬件 厂商 Cisco、IMB 等 ,数据 库 Oracle 等 ,操作 系统 NetWare 等 。 虽 
然 TCP/IP 取得 了 巨大 的 成 功 ,但 其 存在 的 设计 缺陷 不 可 回避 。 分 析 目 前 广泛 使 用 的 IPv4 
协议 ,在 应 用 中 主要 存在 以 下 的 安全 问题 。 

1. 协议 本 身 的 不 安全 性 

例如 ,在 TCP/IP 参考 模型 的 传输 层 提供 了 TCP 和 UDP 两 种 协议 (2000 年 提出 了 
SCTP 协议 , 即 流 控制 传输 协议 ) ,其 中 UDP 本 身 就 是 一 种 不 可 靠 \ 不 安全 的 协议 ,而 TCP 
当初 力求 通过 三 次 握手 机 制 保障 数据 传输 的 可 靠 性 和 安全 性 ,但 近年 来 利用 TCP/IP 三 次 
握手 出 现 的 网 络 攻击 现象 频繁 发 生 。 再 如 ,目前 在 局 域 网 中 泛滥 的 ARP 欺骗 和 DHCP 欺 
骗 ,其 根源 是 这 些 协议 在 当初 设计 时 只 考虑 到 了 应 用 ,而 没有 或 很 少 考虑 安全 。 还 有 ,如 
DNS、POP3、SMTP 和 SNMP 等 应 用 层 的 协议 几乎 都 存在 安全 隐患 。 

2. 应 用 中 出 现 的 不 安全 因素 

当初 ,设计 Internet 的 前 身 ARPAnet 的 目的 很 单纯 ,根本 没有 考虑 到 Internet 在 几 十 
年 后 会 发 展 为 今天 这 样 的 现状 。 最 初 ,在 Internet 上 传输 的 主要 是 一 些 以 纯 代 码 为 主 的 文 
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本 信息 ,Internet 主要 应 用 于 电子 邮件 的 收发 。 随 后 要 求 在 Internet 传输 一 些 图 片 和 文档 。 
再 到 后 来 就 出 现 了 多 媒体 应 用 , 即 多 媒体 网 络 ,要求 通过 计算 机 网 络 能 够 同时 处 理 和 传输 文 
字 、 音 频 、 视 频 、 图 形 、 图 像 及 动画 等 多 种 媒体 信息 。 现 在 ,在 VOD( 视 频 点 播 ) 技 术 得 到 广泛 
应 用 的 同时 ,研究 者 已 开始 关注 IPTV( 网 络 电 视 )、VoIP( 网 络 电话 ) 等 基于 计算 机 网 络 的 实 
时 通信 技术 的 应 用 。 回 顾 计算 机 网 络 应 用 的 发 展 历程 ,一 方面 是 各 种 新 的 应 用 技术 层 出 不 
穷 , 另 一 方面 是 TCP/IP 通信 协议 等 基本 架构 没有 发 生变 化 ,而 且 越 来 越 多 的 要 求 更 高 的 应 
用 都 要 争 用 有 限 的 网 络 资源 。 这 时 研究 者 和 用 户 开始 发 现在 解决 了 应 用 功能 的 同时 ,安全 
问题 随 之 而 来 。 在 这 种 情况 下 , 像 VPN IPSec 等 安全 协议 开始 出 现 , 力 求解 决 网 络 应 用 中 
存在 的 安全 问题 。 但 现实 情况 是 , 随 着 时 间 的 推移 及 应 用 需求 的 不 断 发 展 ,新 的 安全 问题 又 
会 出 现 。 针 对 这 种 现象 , 究 其 根源 还 是 IP 网 络 自身 的 缺陷 ,因为 IP 网 络 本 身 就 是 一 个 “ 尽 
力 而 为 ”的 不 可 靠 的 网 络 , 设 计 者 在 设计 之 初 根本 没有 想到 网 络 会 成 为 今天 这 种 现状 ,或 者 
说 IP 网 络 本 身 就 不 适合 于 今天 的 许多 网 络 应 用 。 然 而 , 当 大 量 的 应 用 强加 到 网 络 中 的 时 
候 , 带 来 的 最 大 问题 就 是 安全 。 

以 IPv4 为 代表 的 IP 网 络 目前 遇 到 的 困境 与 今天 的 道路 交通 非常 相似 。 目 前 许多 城市 
的 道路 还 是 几 年 前 甚至 是 几 十 年 前 根据 当时 的 交通 需求 而 建设 的 ,但 最 近 几 年 来 交通 工具 
的 快速 发 展 导 致 交通 堵塞 和 交通 事故 频繁 发 生 。 现 代 社 会 生活 又 离 不 开 这 些 交 通 工 具 , 所 
以 只 能 在 忍受 交通 堵塞 带 来 的 烦恼 的 同时 ,还 要 解决 不 断 出 现 和 可 能 遇 到 的 安全 问题 。 

3. 网 络 基础 设施 的 发 展 带 来 的 不 安全 因素 

从 应 用 的 角度 来 看 ,早期 的 计算 机 网 络 多 为 有 线 网 络 。 近 年 来 ,在 铜 缆 、 光 纤 等 有 线 网 
络 得 到 大 量 应 用 的 同时 ,基于 微波 .无线电 和 红外 线 等 无 线 介质 的 无 线 通信 方式 得 到 了 快速 
发 展 ,并 逐步 实现 了 与 有 线 网 络 的 融合 。 

从 另外 一 个 角度 来 看 ,早期 计算 机 网 络 的 应 用 有 其 局 限 性 ,主要 供 单位 内 部 的 近 距 离 通 
信 。 后 来 ,计算 机 网 络 的 应 用 逐渐 延伸 到 整个 通信 和 领域 ,通信 方式 从 模拟 到 数字 的 转换 已 成 
为 现实 。 今 天 ,无 论 是 计算 机 网 络 还 是 电信 网 络 , 不 管 是 固定 通信 还 是 移动 通信 ,已 基本 实 
现 了 全 网 的 数字 化 。 目 前 正在 推广 的 3G 网 络 , 优 于 以 前 通信 方式 的 最 大 特点 是 数字 化 和 
通信 速度 。 但 即将 制订 的 4G 通信 标准 ,开始 将 无 线 局 域 网 (Wireless LAN,WLAN) 技 术 与 
移动 通信 技术 进行 融合 ,使 终端 的 动态 连接 速率 达到 100Mb/s, 静 态 连接 速率 达到 1Gb/s。 

在 计算 机 网 络 技术 的 发 展 过 程 中 ,虽然 针对 有 线 网 络 的 窃听 和 物理 接 入 等 不 安全 因素 
一 直 存 在 ,但 与 今天 无 线 通信 中 所 存在 和 将 要 面 对 的 安全 问题 相 比 ,有 线 通信 中 存在 的 安全 
问题 相对 要 少 得 多 。 然 而 ,有 线 与 无 线 的 融合 已 成 为 不 争 的 事实 ,所 以 随 着 网 络 基础 设施 的 
不 断 发 展 , 出 现 更 多 的 安全 问题 也 是 一 个 不 争 的 事实 。 


1.1.2 Internet 应 用 的 快速 发 展 带 来 的 安全 问题 


Internet 由 创建 于 1969 年 的 ARPAnet(Advance Research Projects Agency Network) 
发 展 而 来 ,ARPAnet 是 由 美国 国防 部 出 资 兴建 的 ,设计 ARPAnet 的 最 初 目的 是 使 各 地 研 
究 人 员 在 合作 一 个 项 目 时 能 快速 .灵活 地 共享 代码 和 信息 。 当 初 所 连接 的 节点 数 只 有 4 个， 
所 连接 的 是 大 型 计算 机 ,当时 还 没有 今天 的 个 人 计算 机 和 局 域 网 。 在 网 络 中 传输 的 主要 是 
文本 信息 ,数据 量 较 少 ,应 用 非常 单一 。1980 年 ,ARPAnet 的 所 有 主机 都 开始 采用 TCP/IP 
通信 协议 。 在 这 种 情况 下 ,ARPAnet 很 少 考虑 其 安全 问题 。 


1983 年 ,在 ARPAnet 向 TCP/IP 的 转换 全 部 结束 的 同时 ,美国 国防 部 国防 通信 局 将 
ARPAnet 分 解 成 两 部 分 : 一 部 分 供 民 用 ,名 称 仍然 使 用 ARPAnet, 另 一 部 分 供 军 方 的 非 机 
密 通 信使 用 , 称 为 MILnet。 随 着 TCP/IP 协议 的 标准 化 .ARPAnet 的 规模 不 断 扩大 ,不 仅 
美国 国内 有 很 多 网 络 与 ARPAnet 连接 ,许多 国家 也 通过 远程 通信 线路 将 本 地 的 计算 机 与 
网 络 接 人 ARPAnet ,成 为 今天 Internet 的 委 形 。 

Internet 出 现 后 ,使 用 者 主要 是 一 些 高 校 和 科研 院 所 的 学 者 ,主要 用 于 科学 研究 和 学 术 
领域 。 但 到 了 20 世纪 80 年 代 未 至 90 年 代 初 期 , Internet 的 商业 应 用 快速 发 展 , 各 个 公司 
逐渐 意识 到 Internet 在 产品 推销 、 信 息 传 播 及 商品 交易 等 方面 的 价值 。Internet 的 商业 应 
用 ,致使 用 户 数量 不 断 增 加 .应 用 不 断 扩展 、 新 技术 不 断 出 现 、Internet 的 规模 不 断 扩大 ,使 
Internet 几乎 深入 到 社会 生活 的 每 一 个 角落 。 在 这 种 情况 下 ,由 于 Internet 本 身 存 在 的 缺 
陷 及 Internet 商业 化 带 来 的 各 种 利益 驱动 ,Internet 上 各 种 攻击 和 和 穷 取 商 业 信 息 的 现象 频 
繁 发生 , 网 络 安 全 问题 日 益 明显 。 

为 此 ,可 以 将 网 络 安全 的 动因 主要 归纳 为 三 个 方面 : 一 是 技术 缺陷 ,该 缺陷 是 IP 网 络 
与 生 俱 来 的 ,而 且 在 今天 的 IPv4 网 络 中 更 为 明显 ; 二 是 经 济 利益 所 驱 , 由 于 Internet 的 商 
业 化 及 其 效应 不 断 显现 ,不 法 者 开始 利用 Internet 窃取 个 人 或 企业 的 信息 ,并 从 中 非法 获得 
经 济 利益 , 成 为 目前 Internet 和 Intranet 上 的 最 大 安全 风险 。 例 如 ,2006 年 10 月 在 
Internet 上 广泛 传播 的 “熊猫 烧香 病毒 ”, 通 过 盗 取 用 户 的 QQ 和 游戏 账号 并 从 中 获 利 ; 三 是 
利用 Internet 炫 粹 个 人 才能 ,有 些 病毒 、 木 马 或 攻击 软件 的 开发 者 ,其 目的 并 不 是 为 了 进行 
破坏 或 取得 经 济 利益 ,而 是 为 了 显示 自己 的 计算 机 专业 水 平 。 例 如 ,硬盘 终结 者 ”病毒 在 发 
作 时 将 弹出 一 个 信息 分 析 窗 口 ,作者 以 此 来 炫耀 自己 的 技术 ,并 希望 业内 的 病毒 作者 能 与 其 
合作 。 


1.2 网 络 安全 的 概念 


安全 的 意义 是 将 资源 可 能 受到 的 威胁 降 到 最 低 程度 。 随 着 计算 机 网 络 的 不 断 发 展 ,全 
球 信息 化 已 成 为 人 类 社会 发 展 的 大 势 所 趋 。 但 是 ,由 于 计算 机 网 络 具有 连接 形式 多 样 .终端 
分 布 不 均匀 、 网 络 系统 开放 及 不 同 设备 之 间 互 连 等 特征 ,致使 网 络 易 受 黑客 .恶意 软件 和 其 
他 非法 行为 的 攻击 ,所 以 网 上 信息 的 安全 和 保密 已 成 为 一 个 至 关 重 要 的 问题 。 对 于 像 银行 
系统 等 传输 敏感 数据 的 计算 机 网 络 系统 而 言 ,其 网 上 信息 的 安全 和 保密 显得 尤为 重要 ,因此 
这 些 网 络 必须 具有 足够 强 的 安全 措施 。 无 论 是 在 局 域 网 还 是 在 广域网 中 ,都 存在 着 自然 和 
人 为 等 诸多 因素 的 脆弱 性 和 潜在 威胁 ,因此 网 络 的 安全 措施 应 是 能 全 方位 地 应 对 各 种 不 同 
的 威胁 和 脆弱 性 ,这 样 才能 确保 网 络 信息 的 保密 性 、 完 整 性 和 可 用 人 性 。 
国际 标准 化 组 织 (ISO) 对 计算 机 系统 安全 的 定义 是 : 为 数据 处 理 系统 建立 和 采用 的 技 
术 和 管理 的 安全 保护 ,保护 计算 机 硬件 ,软件 和 数据 不 因 偶 然 和 恶意 的 原因 唱 到 破坏 、 更 改 
和 泄露 。 由 此 可 以 将 计算 机 网 络 的 安全 理解 为 : 通过 采用 各 种 技术 和 管理 措施 ,使 网 络 系 
统 正常 运行 ,从 而 确保 网 络 数据 的 可 用 性 、 完 整 性 和 保密 性 。 所 以 ,建立 网 络 安全 保护 措施 
的 目的 是 确保 经 过 网 络 传输 和 交换 的 数据 不 会 发 生 增加 、 修 改 . 丢 失 和 泄露 等 现象 。 具 体 来 
讲 , 网 络 安全 包括 以 下 5 个 基本 要 素 。 

(1) 机 密 性 。 确 保 信息 不 暴露 给 未 经 授权 的 人 或 应 用 进程 。 
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(2) 完整 性 。 只 有 得 到 允许 的 人 或 应 用 进程 才能 修改 数据 ,并 且 能 够 判别 出 数据 是 否 
已 被 更 改 。 

(3) 可 用 性 。 只 有 得 到 授权 的 用 户 在 需要 时 才 可 以 访问 数据 ,即使 在 网 络 被 攻击 时 也 
不 能 阻碍 授权 用 户 对 网 络 的 使 用 。 

(4) 可 控 性 。 能 够 对 授权 范围 内 的 信息 流向 和 行为 方式 进行 控制 。 

(5) 可 审查 性 。 当 网 络 出 现 安全 问题 时 ,能 够 提供 调查 的 依据 和 手段 。 


1.3 网 络 安全 威胁 的 类 型 


网 络 安全 威胁 指 网 络 中 对 存在 缺陷 的 潜在 利用 ,这 些 缺 陷 可 能 导致 信息 泄露 .系统 资源 
耗 尽 ,非法 访问 ,资源 被 资 ,系统 或 数据 被 破坏 等 。 针 对 网 络 安全 的 威胁 来 自 许多 方面 ,并 且 
会 随 着 技术 的 发 展 不 断 变化 。 


1.3.1 物理 威胁 


物理 安全 是 一 个 非常 简单 的 概念 , 即 不 允许 其 他 人 拿 到 或 看 到 不 属于 自己 的 东西 。 目 
前 ,计算 机 和 网 络 中 所 涉及 的 物理 威胁 主要 有 以 下 几 个 方面 。 

(1) 窃取 。 包 括 窃 取 设 备 、 信 息 和 服务 等 。 

(2) 废物 搜寻 。 是 指 从 已 报废 的 设备 (如 废弃 的 硬盘 .软盘 .光盘 和 U 盘 等 介质 ) 中 搜 
寻 可 利用 的 信息 。 

(3) 间谍 行为 。 是 指 采 取 不 道德 的 手段 来 获取 有 价值 的 信息 的 行为 。 例 如 ,直接 打 
别人 的 计算 机 复制 所 需要 的 数据 ,或 利用 间谍 软件 入 侵 他 人 的 计算 机 来 窃取 信息 等 。 

(4) 假冒 。 指 一 个 实体 假扮 成 另 一 个 实体 后 ,在 网 络 中 从 事 非 法 操作 的 行为 。 这 种 行 
为 对 网 络 数据 构成 了 巨大 的 威胁 。 

另外 , 像 电磁 辐射 或 线路 干扰 也 属于 物理 威胁 的 范围 。 


1.3.2 系统 漏洞 威胁 


系统 漏洞 是 指 系 统 在 方法 ,管理 或 技术 中 存在 的 缺点 (通常 称 为 bug) ,而 这 个 缺点 可 以 
使 系统 的 安全 性 降低 。 目 前 ,系统 漏洞 主要 包括 提供 商 造 成 的 漏洞 开发 者 造成 的 漏洞 、 错 
误 的 配置 及 策略 的 违背 所 引发 的 漏洞 等 。 因 此 漏洞 是 方法 .管理 和 技术 上 存在 缺陷 所 造成 
的 。 目 前 ,由 系统 漏洞 所 造成 的 威胁 主要 表现 在 以 下 几 个 方面 。 

(1) 不 安全 服务 。 指 绕 过 设备 的 安全 系统 所 提供 的 服务 。 由 于 这 种 服务 不 在 系统 的 安 
全 管理 范围 内 ,所 以 会 对 系统 的 安全 造成 威胁 。 主 要 有 网 络 蠕虫 等 。 

(2) 配置 和 初始 化 错误 。 指 在 系统 启动 时 ,其 安全 策略 没有 正确 初始 化 ,从 而 留 下 了 安 
全 漏洞 。 例 如 ,在 木马 程序 修改 了 系统 的 安全 配置 文件 时 就 会 发 生 此 威胁 。 


1.3.3 身份 鉴别 威胁 


所 谓 身份 鉴别 是 指 对 网 络 访问 者 的 身份 (主要 有 用 户 名 和 对 应 的 密码 等 ) 真 伪 进行 鉴 
别 。 目 前 ,身份 鉴别 威胁 主要 包括 以 下 几 个 方面 。 

(1) 口令 圈套 。 常 用 的 口令 圈套 是 通过 一 个 编译 代码 模块 实现 的 。 该 模块 是 专门 针对 
某 一 些 系 统 的 登录 界面 和 过 程 而 设计 的 ,运行 后 与 系统 真正 的 登录 界面 完全 相同 。 该 模块 


一 般 会 插入 到 正常 的 登录 界面 之 前 ,所 以 用 户 先后 会 看 到 两 个 完全 相同 的 登录 界面 。 一 般 
情况 下 , 当 用 户 进行 第 一 次 登录 时 系统 会 提示 登录 失败 ,然后 要 求 重新 登录 。 其 实 , 第 一 次 
登录 的 用 户 名 和 密码 并 未 出 错 (除非 真 的 输入 有 误 ) ,而 是 一 个 圈套 , 它 会 将 正确 的 登录 数据 
写 人 到 数据 文件 中 。 

(2) 口令 破解 。 这 是 最 常用 的 一 种 通过 非法 手段 获得 合法 用 户 名 和 密码 的 方法 。 

(3) 算法 考虑 不 周 。 密 码 输 入 过 程 必须 在 满足 一 定 的 条 件 下 才能 正常 工作 ,这 个 过 程 
通过 某 些 算法 来 实现 。 在 一 些 攻击 人 侵 方 法 中 ,入 侵 者 采用 超 长 的 字符 串 来 破坏 密码 算法 ， 
从 而 成 功 地 进入 系统 。 

(4) 编辑 口令 。 编 辑 口令 需要 依靠 操作 系统 的 漏洞 ,如 为 部 门 内 部 的 人 员 建 立 一 个 虚 
设 的 账户 ,或 修改 一 个 隐 含 账户 的 密码 ,这样 任何 知道 这 个 账户 ( 指 用 户 名 和 对 应 的 密码 ) 的 
人 员 便 可 以 访问 该 系统 。 


1.3.4 线 缆 连接 威胁 


线 缆 连接 威胁 主要 指 借助 网 络 传输 介质 ( 线 缆 ) 对 系统 造成 的 威胁 ,主要 包括 以 下 几 个 
方面 。 

(1) 窃听 。 是 使 用 专用 的 工具 或 设备 ,直接 或 间接 截获 网 络 上 的 特定 数据 包 并 进行 分 
析 , 进 而 获取 所 需 的 信息 的 过 程 。 窃 听 一 般 要 将 窃听 设备 连接 到 通信 线 缆 上 ,通过 检测 从 线 
缆 上 发 射出 来 的 电磁 波 来 获得 所 需要 的 信号 。 解 决 该 数据 被 窃听 的 有 效 手段 是 对 数据 进行 
加 密 。 

(2) 拨号 进入 。 指 利用 调制 解 调 器 等 设备 ,通过 拨号 方式 远程 登录 并 访问 网 络 。 当 攻 
击 者 已 经 拥有 目标 网 络 的 用 户 账户 时 ,就 会 对 网 络 造成 很 大 的 威胁 。 

(3) 冒名 项 蔡 。 指 通过 使 用 别人 的 用 户 账户 和 密码 获得 对 网 络 及 其 数据 ,程序 的 使 用 
能 力 。 由 于 别人 的 用 户 账户 和 密码 不 易 获得 ,所 以 这 种 方法 实现 起 来 并 不 容易 。 


1.3.5 有 害 程 序 威胁 


计算 机 和 网 络 中 的 有 害 程序 是 有 相对 性 的 ,有 些 有 害 程序 不 是 出 于 恶意 目的 ,但 却 被 恶 
意 利用 。 有 害 程序 造成 的 威胁 主要 包括 以 下 几 个 方面 。 

(1) 病毒。 计算 机 病毒 是 一 个 程序 ,是 一 段 可 执行 的 代码 。 就 像 生 物 病 毒 一 样 , 计 算 机 
病毒 有 独特 的 复制 能 力 。 计 算 机 病毒 可 以 很 快 地 蔓延 ,又 常常 难以 根除 。 它 们 能 把 自身 附 
着 在 各 种 类 型 的 文件 上 , 当 文 件 在 不 同 的 计算 机 或 存储 设备 之 间 被 复制 时 ,它们 就 随同 文件 
一 起 蔓延 开 来 。 

(2) 逻辑 炸弹 。 逻 辑 炸弹 是 嵌入 在 某 个 合法 程序 里 面 的 一 段 代 码 , 被 设置 成 当 满 足 某 
个 特定 条 件 时 就 会 发 作 。 逻 辑 炸弹 具有 病毒 的 潜伏 性 。 一 旦 条 件 成 熟 导致 逮 辑 炸弹 爆发 ， 
就 会 改变 或 删除 数据 或 文件 ,引起 机 器 关机 或 完成 某 种 特定 的 破坏 性 操作 。 

(3) 特洛伊 森马。 特洛伊 木马 是 一 个 包含 在 合法 程序 中 的 非法 程序 。 该 非法 程序 被 用 
户 在 不 知情 的 情况 下 被 执行 。 一 般 的 木马 都 有 客户 端 和 服务 器 端 两 个 执行 程序 ,其 中 客户 
端 程序 是 攻击 者 进行 远程 控制 的 程序 ,而 服务 器 端 程序 即 是 木马 程序 。 攻 击 者 如 果 要 通过 
木马 攻击 某 个 系统 ,其 先决 条 件 是 要 把 木马 的 服务 器 端 程序 植 人 到 要 控制 的 计算 机 中 。 

(4) 间谍 软件 。 是 一 种 新 的 安全 威胁 , 它 可 能 在 浏览 网 页 或 者 安装 软件 时 ,在 不 知情 的 
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情况 下 被 安装 到 计算 机 上 。 间 谍 软 件 一 旦 安装 就 会 监视 计算 机 的 运行 ,窃取 计算 机 上 的 重 
要 信息 或 者 记录 计算 机 的 软件 \ 硬 件 设 置 , 严 重 危害 到 计算 机 中 的 数据 和 个 人 隐私 。 


1.4 安全 策略 和 安全 等 级 


在 现实 应 用 中 ,没有 绝对 意义 上 的 安全 网 络 存在 。 对 于 一 个 网 络 来 说 ,在 安全 方面 要 做 
的 首要 工作 便 是 制定 一 个 合理 可 行 的 安全 策略 ,并 根据 不 同 的 应 用 需求 制订 安全 等 级 和 
规范 。 


1.4.1 安全 策略 


制定 安全 策略 是 一 件 非常 复杂 的 事情 ,通常 可 从 以 下 两 个 方面 来 考虑 。 

1. 物理 安全 策略 

物理 安全 策略 包括 以 下 几 个 方面 。 

(1) 为 了 保护 计算 机 系统 、 网 络 服务 器 和 打印 机 等 硬件 实体 和 通信 和 链 路 ,以 免 受 自然 灾 
害 、 人 为 破坏 和 搭 线 攻击 。 

(2) 验证 用 户 的 身份 和 使 用 权限 ,防止 用 户 越权 操作 。 

(3) 确保 计算 机 系统 有 一 个 良好 的 电磁 兼容 工作 环境 。 

(4) 建立 完备 的 安全 管理 制度 ,防止 非法 进入 计算 机 控制 室 和 各 种 偷窃 、 破 坏 活 动 的 

2. 访问 控制 策略 

访问 控制 是 对 要 访问 系统 的 用 户 进行 识别 ,并 对 访问 权限 进行 必要 的 控制 。 访 问 控制 
策略 是 维护 计算 机 系统 安全 ,保护 其 资源 的 重要 手段 。 访 问 控 制 的 内 容 有 入 网 访问 控制 、 目 
录 级 安全 控制 .属性 安全 控制 网络 服 务 器 安全 控制 .网 络 监测 和 锁定 控制 .网络 端口 和 节点 
的 安全 控制 等 。 另 外 ,还 有 加 密 策略 ,防火墙 控制 策略 等 。 


1.4.2 安全 性 指标 和 安全 等 级 


制定 安全 策略 时 ,往往 需要 在 安全 性 和 可 用 性 之 间 采 取 一 个 折衷 的 方案 ,重点 保证 一 些 
主要 安全 性 的 指标 ,如 下 面 的 安全 性 指标 : 

。 数据 完整 性 。 在 传输 过 程 中 ,数据 是 否 保 持 完整 。 

。 数据 可 用 性 。 在 系统 发 生 故 障 时 ,数据 是 否 会 丢失 。 

。 数据 保密 性 。 在 任何 时 候 , 数 据 是 否 有 被 非法 窃取 的 可 能 。 

1985 年 12 月 ,由 美国 国防 部 公布 的 美国 可 信 计 算 机 安全 评价 标准 (Trusted Computer 
System Evaluation Criteria,TCSEC) ,是 计算 机 系统 安全 评估 的 第 一 个 正式 标准 ,该 标准 最 
初 只 是 军用 标准 ,后 来 延至 民用 领域 。TCSEC 将 计算 机 系统 的 安全 划分 为 4 个 等 级 7 个 
级 别 。 

(1) D 类 安全 等 级 。 只 包括 D1 一 个 级 别 。D1 的 安全 等 级 最 低 ,D1 系统 只 为 文件 和 用 
户 提供 安全 保护 。D1 系统 最 普通 的 形式 是 本 地 操作 系统 ,或 者 是 一 个 完全 没有 保护 的 网 
络 。DOS 和 Windows 95/98 操作 系统 的 安全 等 级 属于 D1 级 。 

(2) C 类 安全 等 级 。 该 类 安全 等 级 能 够 酌情 提供 安全 保护 ,并 为 用 户 的 行动 和 责任 提 


供 审计 能 力 。C 类 安全 等 级 可 划分 为 C1 和 C2 两 类 ,其 中 Cl 系统 的 可 信任 运算 基础 体制 
(Trusted Computing Base,TCB) 通 过 将 用 户 和 数据 分 开 来 达到 安全 的 目的 。 在 Cl 系统 
中 ,所 有 的 用 户 以 同样 的 灵敏 度 来 处 理 数据 . 即 用 户 认 为 Cl 系统 中 的 所 有 文档 都 具有 相同 
的 机 密 性 。C2 系统 比 C1 系统 加 强 了 可 调 的 酌情 控制 。 在 连接 到 网 络 上 时 ,C2 系统 的 用 户 
分 别 对 各 自 的 行为 负责 。C2 系统 通过 登录 过 程 、 安 全 事件 和 资源 隔离 来 增强 这 种 控制 。C2 
系统 具有 Cl 系统 中 所 有 的 安全 性 特征 。Unix、NetWare3. x 及 以 上 版 本 及 Windows NT 的 安 
全 等 级 为 C2 级 。 

(3) B 类 安全 等 级 。 分 为 Bl1、B2 和 B3 三 类 .其 中 B 类 系统 具有 强制 性 保护 功能 。 强 制 
性 保护 意味 着 如 果 用 户 没 有 与 安全 等 级 相连 ,系统 就 不 会 让 用 户 访问 对 象 。 其 中 ,Bl 系统 
满足 下 列 要 求 : 系统 对 网 络 控 制 下 的 每 个 对 象 都 进行 灵敏 度 标记 ; 系统 使 用 灵敏 度 标 记 作 
为 所 有 强迫 访问 控制 的 基础 ; 系统 在 把 导入 的 、 非 标记 的 对 象 放 入 系统 前 标记 它们 ; 灵敏 
度 标记 必须 准确 地 表示 其 所 联系 对 象 的 安全 级 别 ; 当 系 统管 理 员 创建 系统 或 者 增加 新 的 通 
信 通 道 或 1//O 设备 时 ,管理 员 必须 指定 每 个 通信 通道 和 1/O 设备 是 单 级 还 是 多 级 ,并 且 管 
理 员 只 能 手工 改变 指定 ; 单 级 设备 并 不 保持 传输 信息 的 灵敏 度 级 别 ; 所 有 直接 面向 用 户 位 
置 的 输出 (无 论 是 虚拟 的 还 是 物理 的 ) 都 必须 产生 标记 来 指示 关于 输出 对 象 的 灵敏 度 ; 系统 
必须 使 用 用 户 的 口令 或 证 明 来 决定 用 户 的 安全 访问 级 别 ; 系统 必须 通过 审计 来 记录 未 授权 
访问 的 企图 。 

B2 系统 必须 满足 Bl 系统 的 所 有 要 求 。 另 外 ,B2 系统 的 管理 员 必 须 使 用 一 个 明确 的 、 
文档 化 的 安全 策略 模式 作为 系统 的 可 信任 运算 基础 体制 。B2 系统 必须 满足 下 列 要 求 : 系 
统 必须 立即 通知 系统 中 的 每 一 个 用 户 所 有 与 之 相关 的 网 络 连 接 的 改变 ; 只 有 用 户 能 够 在 可 
信任 通信 路 径 中 进行 初始 化 通信 ; 可 信任 运算 基础 体制 能 够 支持 独立 的 操作 者 和 管理 员 。 

B3 系统 必须 符合 B2 系统 的 所 有 安全 需求 。B3 系统 具有 很 强 的 监视 委托 管理 访问 能 
力 和 抗 干扰 能 力 。B3 系统 必须 设 有 安全 管理 员 。B3 系统 应 满足 以 下 要 求 : 除了 控制 对 个 
别 对 象 的 访问 外 ,B3 必须 产生 一 个 可 读 的 安全 列表 ; 每 个 被 命名 的 对 象 提供 对 该 对 象 没 有 
访问 权 的 用 户 列表 说 明 ; B3 系统 在 进行 任何 操作 前 ,要 求 用 户 进 行 身份 验证 ; B3 系统 验证 
每 个 用 户 , 同 时 还 会 发 送 一 个 取消 访问 的 审计 跟踪 消息 ; 设计 者 必须 正确 区 分 可 信任 的 通 
信和 路 径 和 其 他 路 径 ; 可 信任 的 通信 基础 体制 为 每 一 个 被 命名 的 对 象 建立 安全 审计 跟踪 ; 可 
信任 的 运算 基础 体制 支持 独立 的 安全 管理 。 

(4) A 类 安全 等 级 。A 系统 的 安全 级 别 最 高 。 目 前 ,A 类 安全 等 级 只 包含 Al 一 个 安 
全 类 别 。Al 类 与 B3 类 相似 ,对 系统 的 结构 和 策略 不 作 特别 要 求 。Al 系统 的 显著 特征 是 ， 
系统 的 设计 者 必须 按照 一 个 正式 的 设计 规范 来 分 析 系 统 。 对 系统 分 析 后 ,设计 者 必须 运用 
核对 技术 来 确保 系统 符合 设计 规范 。Al 系统 必须 满足 下 列 要 求 : 系统 管理 员 必须 从 开发 
者 那里 接收 到 一 个 安全 策略 的 正式 模型 ; 所 有 的 安装 操作 都 必须 由 系统 管理 员 进 行 ; 系统 
管理 员 进行 的 每 一 步 安 装 操作 都 必须 有 正式 文档 。 


1.5 常用 的 网 络 安全 管理 技术 


针对 以 上 所 提 到 的 网 络 安全 问题 ,为 了 保护 网 络 信息 的 安全 可 靠 ,在 运用 法 律 和 管理 手 
段 的 同时 ,还 需要 依靠 相应 的 技术 来 加 强 对 网 络 的 安全 管理 。 


计算 机 网 络 安 会 概述 


者 一 恰 


计算 机 网 络 安 全 技术 


1.5.1 物理 安全 技术 


物理 安全 ,是 保护 计算 机 网 络 设备 ,设施 及 其 他 介质 免 遭 地 震 , 水 灾 和 火灾 等 环境 事故 ， 
以 及 人 为 操作 失误 及 各 种 计算 机 犯罪 行为 导致 破坏 的 过 程 ,主要 包括 环境 安全 、 设 备 安全 和 
介质 安全 三 个 方面 。 

保证 物理 安全 可 用 的 技术 手段 很 多 ,这 方面 有 许多 可 以 依据 的 标准 。 例 如 ,国家 标准 
GB50173-93《 电 子 计算 机 机 房 设计 规范 )、 国 家 标准 GB2887-89《 计 算 站 场地 技术 条 件 》、 
GB9361-88《 计 算 站 场地 安全 要 求 ), 以 及 其 他 诸如 防 辐 射 , 防 电磁 干扰 的 众多 标准 等 。 当 
然 ,要 保证 物理 安全 ,人 员 素 质 管理 也 非常 重要 。 一 方面 需要 制定 切实 可 行 的 安全 管理 制 
度 , 另 一 方面 需要 加 强 对 人 员 安 全 意识 的 教育 和 培养 。 


1.5.2 安全 隔离 


传统 的 以 太 网 络 , 信 息 发 送 采 用 的 是 广播 方式 ,实际 上 就 给 信息 “共享 "打开 了 通道 。 恶 
意 攻 击 者 只 要 能 够 进入 局 域 网 ,就 可 能 监听 所 有 数据 通信 ,窃取 机 密 。 

1. 安全 隔离 的 概念 

随 着 新 型 网 络 攻击 手段 的 不 断 出 现 和 一 些 企 事 业 单位 对 网 络 安 全 要 求 的 不 断 提高 ,一 
个 全 新 的 概念 一 一 “安全 隔离 技术 ”应 运 而 生 。 安 全 隔离 技术 的 目标 是 在 确保 把 有 害 攻 击 隔 
离 在 可 信和 网 络 之 外 ,并 保证 可 信和 网 络 内 部 信息 不 外 汇 的 前 提 下 ,完成 不 同 网 络 之 间 信 息 的 安 
全 交换 和 共享 。 到 目前 为 止 ,安全 隔离 技术 已 经 过 了 以 下 几 个 发 展 阶 段 。 

(1) 完全 隔离 。 采 用 完全 独立 的 设备 ,存储 和 线路 来 访问 不 同 的 网 络 , 做 到 了 完全 的 物 
理 隔 离 ,但 需要 多 套 网 络 和 系统 ,建设 和 维护 成 本 较 高 ,一般 仅 适 用 于 一 些 专用 网 络 。 目 前 ， 
像 公安 系统 的 公安 专 网 ,军队 系统 的 军 网 等 专用 网 络 便 是 采用 安全 隔离 方式 来 实现 的 。 

(2) 硬件 卡 隔离 。 通 过 硬件 卡 控制 独立 存储 和 分 时 共享 设备 与 线路 来 实现 对 不 同 网 络 
的 访问 。 该 技术 在 20 世纪 90 年 代 中 期 应 用 较为 广泛 ,许多 政府 机 关 和 企 事业 单位 为 了 保 
护 计 算 机 上 的 数据 ,多 采用 硬件 卡 进行 隔离 。 因 为 在 此 期 间 , 多 数 计算 机 仍 以 单机 操作 为 
主 , 当 需要 上 网 时 , 则 通过 硬件 卡 切换 到 另 一 系统 ,以 加 强 对 系统 数据 资源 的 保护 。 目 前 ,该 
技术 仍然 在 一 定 范围 内 使 用 ,但 存在 使 用 不 便 、 可 用 性 差 等 问题 ,有 些 还 存在 设计 上 的 安全 

(3) 数据 转播 隔离 。 利 用 转播 系统 分 时 复制 文件 的 途径 来 实现 隔离 。 该 方法 切换 时 间 
较 长 ,甚至 需要 手工 完成 ,不 仅 大 大 降低 了 访问 速度 ,更 不 支持 常见 的 网 络 应 用 ,只 能 完成 特 
定 的 基于 文件 的 数据 交换 。 

(4) 空气 开关 隔离 。 该 技术 是 通过 使 用 单刀 双 搓 开关 ,通过 内 外 部 网 络 分 时 访问 临时 
缓存 器 来 完成 数据 交换 的 。 该 方法 支持 的 网 络 应 用 较 少 ,传输 速度 慢 ,硬件 故障 率 较 高 , 容 
易 成 为 网 络 的 瓶颈 。 

(5) 安全 通道 隔离 。 该 技术 通过 专用 通信 硬件 和 专 有 交换 协议 等 安全 机 制 ,来 实现 网 
络 间 的 隔离 和 数据 交换 。 不 仅 解决 了 以 往 隔 离 技术 存在 的 问题 ,并 且 在 网 络 隔离 的 同时 实 
现 高 效 的 内 外 网 数据 的 安全 交换 , 它 透 明 地 支持 多 种 网 络 应 用 ,成 为 当前 隔离 技术 的 发 展 
方向 。 


2. 网 络 分 段 

网 络 分 段 是 保证 网 络 安全 的 一 项 基本 措施 ,其 宗旨 是 根据 业务 或 分 类 级 别 的 不 同 ,将 网 
络 和 用 户 分 类 隔离 。 通 过 设 定 不 同 的 权限 控制 ,防止 越级 越权 对 网 络 资源 的 非法 访问 。 

网 络 分 段 有 物理 分 段 和 逻辑 分 段 两 种 方式 。 其 中 ,物理 分 段 通 常 是 指 将 网 络 从 物理 层 
和 数据 链 路 层 上 分 为 若干 网 段 ,各 网 段 之 间 无 法 进行 直接 通信 。 目 前 ,许多 交换 机 都 有 一 定 
的 访问 控制 能 力 , 可 实现 对 网 络 的 物理 分 段 。 人 逻辑 分 段 则 是 指 将 整个 系统 在 网 络 层 上 进行 
分 段 , 对 于 TCP/IP 网 络 , 可 以 根据 IP 地 址 将 网 络 分 成 若干 子 网 ,各 子 网 间 必 须 通 过 可 路 由 
的 网 关 设 备 (三 层 交换 机 或 路 由 器 ) 进 行 连接 ,并 通过 这 些 设备 自身 的 安全 机 制 ( 如 ACL、 
QoS 等 ) 来 控制 各 子 网 间 的 相互 访问 。 迪 辑 分 段 应 用 灵活 ,适用 范围 广 ,是 目前 研究 和 应 用 
的 主要 领域 。 


1.5.3 访问 控制 


访问 是 使 信息 在 不 同 设备 之 间 流 动 的 一 种 交互 方式 。 访 问 控制 决定 了 谁 能 够 访问 系 
统 ,能 访问 系统 的 何 种 资源 及 如 何 使 用 这 些 资源 。 适 当 的 访问 控制 能 够 阻止 未 经 允许 的 用 
户 有 意 或 无 意 地 获取 数据 。 访 问 控制 的 手段 包括 用 户 识别 代码 .口令 .登录 控制 ,资源 授权 
(例如 用 户 配 置 文件 .资源 配置 文件 和 控制 列表 )、 授 权 核查 .日 志和 审计 。 

访问 控制 主要 是 通过 防火 墙 ,交换 机 或 路 由 器 的 使 用 来 实现 的 。 防 火 墙 是 实现 网 络 安 
全 最 基本 、 最 经 济 、 最 有 效 的 安全 措施 之 一 ,通过 制定 严格 的 安全 策略 ,防火 墙 可 以 对 内 外 网 
络 或 内 部 网 络 不 同 信任 域 之 间 进 行 隔离 ,使 所 有 经 过 防火 墙 的 网 络 通信 接受 设 定 的 访问 控 
制 。 此 外 ,通过 防火 墙 提供 的 NAT 功能 ,也 可 以 起 到 网 段 隔离 的 作用 (主要 是 局 域 网 与 广 
域 网 之 间 )。 

男 外 , 随 着 微 电 子 技术 的 发 展 ,交换 机 和 路 由 器 的 数据 处 理 和 存储 能 力 得 到 了 提高 。 为 
此 ,目前 许多 设备 已 集成 了 原来 多 个 设备 所 提供 的 功能 。 例 如 ,现在 的 绝 大 多 数 防火 墙 已 提 
供 了 原来 路 由 器 才 具 有 的 ACL NAT 等 功能 。 同 时 ,在 一 些 路 由 器 上 也 提供 了 原本 由 防火 
墙 才 具 有 的 访问 控制 功能 。 


1.5.4 加 密 通道 


给 网 络 通信 提供 加 密 通道 ,也 是 普遍 使 用 的 一 项 安全 技术 。 随 着 技术 的 发 展 ,目前 加 密 
通道 可 以 建立 在 数据 链 路 层 、 网 络 层 、 传 输 层 甚至 是 应 用 层 。 

1. 数据 链 路 层 加 密 

数据 链 路 层 加 密 可 以 使 用 专用 的 链 路 加 密 设备 ,其 加 密 机 制 是 点 对 点 的 加 、 解 密 。 在 通 
信和 链 路 两 端 ,都 应 该 配置 链 路 加 密 设备 ,通过 位 于 两 端 加 密 设备 的 协商 配合 来 实现 传输 数据 
的 加 密 和 解密 过 程 。 

近年 来 ,VPN(Virtual Private Network ,虚拟 专用 网 ) 技 术 得 到 了 快速 发 展 , 并 得 到 了 
广泛 应 用 。 其 中 ,位 于 数据 链 路 层 的 VPN 可 以 实现 链 路 层 加 密 。 目 前 这 样 的 VPN 技术 主 
要 有 三 种 : L2F(Layer 2 Forwarding, 第 二 层 转 发 ) .PPTP(Point-to-Point Protocol, 点 对 点 
隧道 协议 ) 和 L2TP(Layer 2 Tunneling Protocol, 第 二 层 隧 道 协议 ) 。 在 进行 网 络 通信 时 , 链 
路 层 VPN 首先 会 将 各 种 网 络 协议 封装 到 PPP 中 ,再 把 整个 数据 装 人 隧道 协议 中 。 这 种 双 
层 封装 形成 的 数据 包 依 靠 链 路 层 协议 来 传输 ,最 终 起 到 点 对 点 加 密 通 信 的 效果 。 
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2. 网 络 层 加 密 
网 络 层 加 密 通 过 网 络 层 VPN 技术 来 实现 ,最 典型 的 就 是 IPSec。 现 在 许多 提供 VPN 
功能 的 防火 墙 设备 中 都 支持 IPSec。 
网 络 层 VPN 也 需要 对 原始 数据 包 进 行 多 层 封 装 , 但 最 终 形成 的 数据 包 是 依靠 第 三 层 
协议 (一 般 是 IP 分 组 ) 来 进行 传输 的 ,本 质 上 是 端 到 端的 数据 通信 。 

3. 传输 层 加 密 

传输 层 加 密 通 道 可 以 采用 SSL(Secure Socket Layer, 安 全 套 接 层 ) 和 TLS(Transport 
Layer Security ,传输 层 安 全 ) 技 术 。SSL 是 应 用 比较 广泛 的 一 种 传输 层 安 全 协议 , 它 介 于 应 
用 层 协议 和 TCP/IP 之 间 ,为 传输 层 提供 安全 性 保证 。 

TLS 是 IETF 的 标准 , 它 建立 在 SSL 3. 0 基础 之 上 ,只 是 所 支持 的 加 密 算 法 不 同 ,这 两 
种 加 密 协 议 不 能 互通 。 

此 外 ,还 有 一 些 其 他 的 传输 层 安 全 技术 ,例如 SSH SOCKS 等 。 

4. 应 用 层 加 密 

应 用 层 加 密 与 具体 的 应 用 类 型 结合 紧密 ,典型 的 有 SHTTP、SMIME 等 。 安 全 超 文本 
传输 协议 (Secure HyperText Transfer Protocal,SHTTP) 是 面向 消息 的 安全 通信 协议 ,可 
以 为 单个 Web 主页 定义 加 密 安 全 措施 。 而 SMIME (Secure Multipurpose Internet Mail 
Extensions, 加 密 多 用 途 Internet 邮件 扩展 ) 则 是 一 种 电子 邮件 加 密 和 数字 签名 技术 。 应 用 
层 加 密 还 包括 利用 各 种 加 密 算法 开发 的 加 密 程序 。 


1.5.5 入 侵 检 测 


入 侵 检测 (Intrusion Detection) 技 术 是 近年 来 发 展 迅速 的 一 种 安全 技术 。 我 们 知道 , 防 
火 墙 是 最 早 被 采用 的 访问 控制 措施 ,但 由 于 防火 墙 * 防 外 不 防 内 ”的 先天 性 弱点 ,加 上 防火 墙 
对 实时 入 侵 行为 识别 及 反应 能 力 的 限制 ,使 得 入 侵 检测 技术 成 为 整体 安全 解决 方案 中 必 不 
可 少 的 一 部 分 。 

入 侵 检 测 技术 , 即 通 过 在 计算 机 网 络 或 计算 机 系统 的 关键 点 采集 信息 进行 分 析 , 从 中 发 
现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 入 侵 检测 所 使 用 的 软件 与 硬 
件 的 组 合 便 是 入 侵 检测 系统 (IDS) 。 

根据 检测 对 象 的 不 同 ,可 将 入侵 检测 系统 分 为 两 类 : 基于 主机 的 入 侵 检测 系统 (HIDS) 
和 基于 网 络 的 入 侵 检 测 技术 (NIDS) 。 

NIDS 是 最 常 使 用 的 一 种 人 侵 检测 系统 , 它 作 为 共享 网 络 中 的 一 个 节点 ,对 本 网 段 上 的 
通信 数据 进行 侦 听 ,这 种 采集 数据 的 方法 就 是 典型 的 Sniffer 技术 ,通过 对 网 络 中 通信 数据 
的 分 析 ,发 现 其 中 的 可 疑 痕迹 。 一 般 情况 下 ,NIDS 对 入 侵 行为 的 检测 多 是 通过 模式 匹配 来 
进行 的 。 也 就 是 说 ,选择 某 种 匹配 算法 ,将 获得 的 数据 信息 与 规则 库 ( 漏 洞 库 ) 中 的 模式 进行 
比较 ,从 中 发 现 已 知 的 攻击 行为 。 这 种 入 侵 检测 系统 不 需要 主机 提供 严格 的 审计 ,对 主机 资 
源 消耗 少 ,并 可 以 提供 对 网 络 通 常 的 保护 而 无 需 顾 及 复杂 网 络 中 异 构 主 机 的 特殊 情况 。 当 
然 , 误 报 (false positive) 和 漏 报 (false negtive) 往 往 是 NIDS 存在 的 最 大 问题 。 此 外 ,NIDS 
并 不 能 对 主机 内 部 的 活动 进行 检测 ,这 无 疑 会 使 人 侵 检测 的 成 效 受 影响 。 

HIDS 通过 提取 并 分 析 主 机 的 审计 记录 (日 志 ) 来 检测 人 侵 。 这 种 入 侵 检测 系统 和 主机 
结合 紧密 ,往往 需要 根据 不 同类 型 的 主机 系统 采用 不 同 的 检测 方法 。 另 外 , 它 的 实时 性 比较 


差 ,通常 可 以 作为 事后 追查 人 侵 者 并 提取 证 据 的 一 种 手段 。 

IDS 技术 发 展 到 现在 ,已 经 出 现 了 许多 种 检测 方法 ,从 最 初 的 模式 匹配 和 审计 方法 ,到 
基于 统计 和 专家 系统 、 原 型 系统 的 方法 ,也 有 基于 移动 代理 技术 的 检测 方法 。 此 外 ,IDS 的 
整体 构架 也 有 所 扩展 ,单一 布局 的 IDS 结构 已 经 不 适应 多 网 段 人 侵 检测 的 要 求 , 分 布 式 、 多 
系统 的 IDS 将 是 一 个 重点 发 展 的 方向 。 


1.5.6 入 侵 保 护 


安全 防护 是 一 个 多 层次 的 保护 机 制 , 它 既 包 括 企业 的 安全 策略 ,又 包括 防火 墙 、 防 病毒 
和 入侵 检测 等 产品 技术 解决 方案 。 而 且 , 为 了 保障 网 络 安全 ,还 必须 建立 一 套 完整 的 安全 防 
护 体 系 , 进 行 多 层次 、 多 手段 的 检测 和 防护 。 其 中 ,IDS 正 是 构建 安全 防护 体系 不 可 缺少 的 
一 个 环节 。 促 使 IDS 得 到 广泛 应 用 的 一 个 因素 是 Slammer、 冲 击 波 等 针对 系统 漏洞 的 攻击 
不 断 增 多 ,新 的 软件 漏洞 不 断 被 发 现 , 一 些 分 析 系 统 缺 陷 、 编 写 攻击 程序 或 制作 蠕虫 病毒 的 
简单 工具 也 在 不 断 发 展 之 中 ,从 发 现 缺 陷 到 释放 出 蠕虫 病毒 的 时 间 间 隔 进一步 缩短 ,用 户 需 
要 一 种 可 以 检测 攻击 的 有 效 工具 ,IDS 就 是 其 中 的 一 种 。 

近年 来 ,IDS 在 网 络 中 的 应 用 日 渐 增多 ,尤其 在 对 安全 等 级 要 求 较 高 的 证 券 、 金 融 及 电 
信 的 网 络 中 ,IDS 的 应 用 非常 普及 ,不 过 IDS 所 带 来 的 麻烦 也 越 来 越 明 显 。 例 如 ,IDS 的 误 
报 率 太 高 ,在 每 天 发 出 的 大 量 报警 信息 中 ,真正 有 价值 的 信息 却 寥寥 无 几 ,而 从 大 量 信息 中 
筛选 出 有 用 信息 不 是 一 件 容易 的 事情 。 另 外 ,许多 用 户 希 望 IDS 能 够 增加 主动 阻 断 攻击 的 
能 力 , 在 危害 出 现时 能 够 直接 将 其 阻 断 ,而 不 是 让 其 进入 网 络 。 在 Windows 操作 系统 普遍 
使 用 的 今天 ,操作 系统 漏洞 屡屡 成 为 被 攻击 的 依据 ,主动 防御 和 应 用 安全 的 压力 将 显得 更 为 
突出 。 一 方面 ,系统 的 复杂 性 在 不 断 提高 ,几乎 每 周 都 会 有 系统 缺陷 被 发 现 ; 另 一 方面 , 利 
用 高 危 缺陷 进行 人 侵 和 传播 的 攻击 技术 也 在 快速 发 展 ,用 户 需 要 一 种 能 够 实时 阻 断 攻击 的 
安全 技术 。 

从 技术 上 看 ,IPS(Intrusion Prevention System, 和 人 侵 保 护 系 统 ) 和 IDS 之 间 有 着 必然 联 
系 ,IPS 可 以 被 看 作 是 增加 了 主动 阻 断 功能 的 IDS。 但 是 ,IPS 绝 不 仅仅 是 增加 了 主动 阻 断 
的 功能 ,而 是 在 性 能 和 数据 包 的 分 析 能 力 方面 都 比 IDS 有 了 质 的 提升 。 

由 于 增加 了 主动 阻 断 能 力 ,检测 准确 程度 的 高 低 对 于 IPS 来 说 十 分 关键 。 除 了 检测 机 
制 外 ,IPS 的 检测 准确 率 还 依赖 于 应 用 环境 。 一 些 流量 对 于 某 些 用 户 来 说 可 能 是 恶意 的 ,而 
对 于 另外 的 用 户 来 说 就 是 正常 流量 ,这 就 需要 IPS 能 够 针对 用 户 的 特定 需求 提供 灵活 而 易 
用 的 策略 ,以 提高 检测 准确 率 。 引 入 弱点 分 析 技 术 是 IPS 的 另 一 个 亮点 ,IPS 厂商 通过 分 析 
系统 漏洞 ,收集 和 分 析 攻 击 代码 或 蠕虫 代码 、 描 述 攻击 特征 或 缺陷 特征 ,使 IPS 能 够 主动 保 
护 脆弱 系统 。 

绝 大 多 数 IDS 系统 都 是 被 动 的 ,而 不 是 主动 性 的 。 在 攻击 实际 发 生 之 前 ,IDS 往往 无 法 
预先 发 出 警报 。IPS 则 倾向 于 提供 主动 性 的 防护 ,其 设计 旨 在 预先 对 入 侵 活 动 和 攻击 性 网 
络 流量 进行 拦截 ,避免 其 造成 任何 损失 ,而 不 是 简单 地 在 恶意 流量 传送 时 或 传送 后 才 发 出 警 
报 。IPS 是 通过 直接 嵌入 到 网 络 流量 中 而 实现 这 一 功能 的 , 即 通过 一 个 网 络 端口 接收 来 自 
外 部 系统 的 流量 ,经 过 检查 确认 其 中 不 包含 异常 活动 或 可 疑 内 容 后 ,再 通过 另外 一 个 端口 将 
它 传送 到 内 部 系统 中 。 这 样 一 来 ,有 问题 的 数据 包 , 以 及 所 有 来 自 同一 数据 流 的 后 续 数据 
包 , 都 能 够 在 IPS 设备 中 被 清除 掉 。 
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在 主动 防御 渐 和 人 人 心 之 时 ,IDS 的 报警 功能 仍 是 主动 防御 系统 所 必需 的 。 也 许 IDS 的 
产品 形式 会 消失 ,但 是 IDS 的 检测 功能 并 不 会 因 形式 的 消失 而 消失 ,只 是 逐渐 被 转化 和 吸 
纳 到 其 他 的 安全 设备 当中 。 但 在 实际 应 用 中 ,由 于 IPS 的 许多 技术 目前 并 没有 取得 业界 的 
公认 ,所 以 IDS 在 短期 内 还 不 会 消亡 ,同时 IPS 也 不 会 完全 取代 IDS 的 作用 。 


1.5.7 安全 扫描 


前 面 所 介绍 的 安全 技术 多 是 被 动 的 防御 ,如 果 要 真正 了 解 网 络 当前 的 安全 状况 ,就 应 该 
采用 安全 扫描 技术 ,对 网 络 整体 的 安全 状况 进行 有 效 评 估 。 实 事 上 ,在 网 络 安全 建设 周期 
中 ,安全 评估 应 该 是 一 个 很 重要 的 环节 。 

进行 网 络 安全 扫描 ,选择 合适 的 工具 是 个 关键 。 一 般 来 讲 , 扫 描 工 具 可 以 分 为 基于 网 络 
的 扫描 器 和 基于 主机 的 扫描 器 。 其 中 ,基于 网 络 的 扫描 器 可 以 置 于 网 络 的 任何 部 位 ,可 以 从 
外 部 网 络 透 过 防火 墙 对 内 部 网 络 进行 扫描 ,也 可 以 在 内 部 网 络 直 接 对 网 络 中 的 主机 和 设备 
进行 扫描 。 这 种 工具 的 使 用 非常 灵活 , 它 可 以 完全 模拟 黑客 的 入 侵 和 攻击 行为 ,对 网 络 的 安 
全 状况 进行 最 直接 的 评测 。 其 效果 如 何 ,基本 上 取决 于 扫描 规则 的 完备 和 更 新 程度 。 

基于 主机 的 扫描 器 一 般 采 用 Agent/Console( 代 理 / 控 制 台 ) 结 构 , 通 常 是 一 对 一 的 单 点 
扫描 。 在 要 扫描 的 目标 主机 上 安装 代理 程序 ,由 代理 程序 完成 真正 的 扫描 工作 ,而 控制 台 负 
责 向 代理 发 送 扫描 指令 ,并 汇总 分 析 扫描 结果 。 因 为 代理 直接 在 目标 主机 上 运行 ,所 以 可 以 
对 主机 进行 更 细致 .更 全 面 的 检测 ,一 般 还 具有 日 志 审 计 功 能 。 

无 论 哪 种 扫描 工具 ,对 扫描 规则 库 进 行 及 时 更 新 应 该 是 起 码 的 要 求 。 当 然 ,扫描 工具 提 
供 的 最 终结 果 报 告 也 应 该 具有 多 样 性 ,以 满足 人 们 的 不 同 需求 。 


1.5.8 密 锐 技术 


蜜 负 (honeypot) 是 一 种 计算 机 网 络 中 专门 为 吸引 并 “诱骗 "那些 试图 非法 入 侵 他 人 计算 
机 系统 的 人 而 设计 的 “陷阱 ”系统 。 

1. 蜜 饶 的 概念 和 作用 

蜜 钢 是 一 种 被 侦 听 ,被 攻击 或 已 经 被 入 侵 的 资源 ,使 用 和 配置 蜜 把 的 目的 是 使 系统 处 于 
被 侦 听 ,被 攻击 状态 。 蜜 钠 组 织 的 专家 L. Spitzner 对 蜜 钠 的 定义 为 : 蜜 钠 是 一 种 资源 , 它 的 
价值 是 被 攻击 或 攻陷 。 这 就 意味 着 蜜 把 是 用 来 被 探测 ,被 攻击 甚至 最 后 被 攻陷 的 , 蜜 炙 不 会 
修补 任何 东西 ,这 样 就 为 使 用 者 提供 了 额外 的 有 价值 的 信息 。 蜜 把 不 会 直接 提高 计算 机 网 
络 安 全 ,但 它 却 是 其 他 安全 策略 所 不 可 替代 的 一 种 主动 攻击 技术 。 

蜜 钠 并 非 一 种 安全 解决 方案 ,因为 蜜 钠 并 不 会 对 产生 的 侦 听 ,攻击 等 行为 采取 任何 阻止 
手段 。 蜜 镀 只 是 一 种 工具 ,是 对 系统 和 应 用 的 仿真 ,可 以 创建 一 个 能 够 将 攻击 者 困 在 其 中 的 
环境 。 蜜 饮 技 术 已 经 发 展 成 为 诱骗 攻击 者 的 一 种 非常 有 效 而 实用 的 方法 , 它 不 仅 可 以 转移 
入 侵 者 的 攻击 ,保护 用 户 的 主机 和 网 络 不 受 入 侵 , 而 且 可 以 为 人 侵 的 取证 提供 重要 的 线索 和 
信息 。 

蜜 缸 技术 已 经 被 广泛 应 用 于 因特网 的 安全 研究 中 。 对 于 一 个 安全 研究 组 织 来 说 ,面临 
的 最 大 问题 是 缺乏 对 入 侵 者 的 了 解 。 他 们 最 需要 了 解 的 是 谁 正在 攻击 ,攻击 的 目的 是 什么 、 
攻击 者 如 何 进 行 攻击 、 攻 击 者 使 用 什么 方法 进行 攻击 及 攻击 者 何 时 进行 攻击 等 。 目 前 解决 
这 些 问 题 的 最 好 方法 之 一 是 密 饶 技术 。 密 缸 可 以 为 安全 专家 们 提供 一 个 学 习 各 种 攻击 的 平 


台 。 在 研究 攻击 入 侵 中 ,没有 其 他 方法 比 观察 人 侵 者 的 行为 并 一 步 步 记录 攻击 过 程 直 至 整 
个 系统 被 人 侵 更 具有 应 用 价值 。 

蜜 负 是 一 个 可 以 模拟 具有 一 个 或 多 个 攻击 弱点 的 主机 系统 ,为 攻击 者 提供 一 个 易于 被 
攻击 的 目标 。 密 缸 中 所 有 的 假 终端 . 子 网 等 都 经 过 设计 人 员 的 精心 策划 ,以 吸引 攻击 者 的 攻 
击 。 例 如 , 密 饶 设计 人 员 可 以 在 因特网 上 定义 这 样 一 台 主 机 ,其 主机 名 为 www. bank. com. 
cn, 并 在 该 系统 中 提供 一 些 让 攻击 者 可 以 很 容易 猜测 到 的 用 户 账户 。 当 攻击 者 冯 入 系统 时 ， 
对 进行 的 操作 进行 记录 ,并 收集 相关 的 数据 。 这 些 数据 是 分 析 网 络 安全 的 最 好 资料 。 

2. 蜜 欠 的 分 类 

蜜 钠 可 以 分 为 牺牲 型 蜜 钠 、 外 观 型 蜜 钠 和 测量 型 密 铅 三 种 基本 类 型 。 

(1) 牺牲 型 蜜 缸 。 是 一 台 简 单 的 为 某 种 特定 攻击 设计 的 计算 机 。 牺 牲 型 蜜 饶 一 般 放 置 
在 易 受 攻击 的 地 点 ,并 假扮 为 攻击 的 受害 者 ,为 攻击 者 提供 极 好 的 攻击 目标 。 牺 牲 型 蜜 把 的 
不 足 是 提取 攻击 数据 比较 难 , 而 且 本 身 也 会 被 攻击 者 利用 来 攻击 其 他 的 主机 。 

(2) 外 观 型 蜜 缸 。 仅 对 网 络 服务 进行 仿真 ,而 不 会 导致 主机 真正 被 攻击 ,从 而 蜜 饶 的 安 
全 不 会 受到 威胁 。 研 究 人 员 对 外 观 型 蜜 缸 中 记录 的 数据 的 访问 更 加 方便 ,可 以 更 容易 地 检 
测 到 攻击 者 。 外 观 型 蜜 钠 是 一 种 最 简单 的 蜜 钠 , 通 常 由 某 些 应 用 服务 的 仿真 程序 构成 。 外 
观 型 蜜 饶 也 具有 与 牺牲 型 蜜 锥 相同 的 弱点 。 

(3) 测量 型 蜜 缸 。 综 合 了 牺牲 型 蜜 缸 和 外 观 型 蜜 缸 的 特点 ,与 牺牲 型 蜜 饶 类 似 , 测 量 型 
蜜 饶 为 攻击 者 提供 了 高 度 可 信 的 系统 ; 与 外 观 型 蜜 缸 类 似 ,测量 型 蜜 饶 非 常 容易 访问 ,但 攻 
击 者 很 难 绕 过 。 

目前 ,成 熟 的 蜜 饶 产 品 也 比较 多 ,如 DTK (Deception Tool Kit)、BOF (Back Orifice 
Friendly) .Specter.Home-made 和 Honeyd 等 。 对 网 络 攻击 感 兴趣 的 读者 可 以 选择 一 款 蜜 
饶 产 品 ,研究 攻击 现象 的 详细 发 生 过 程 。 


1.5.9 物理 隔离 技术 


目前 没有 一 种 技术 可 以 解决 所 有 的 安全 问题 。 但 是 ,防御 的 深度 越 深 , 网 络 就 越 安全 。 
物理 隔离 是 目前 能 够 较 好 地 解决 各 类 安全 问题 的 一 项 技术 , 它 是 近年 来 出 现 的 一 个 全 新 的 
安全 防御 手段 ,解决 了 许多 高 保密 单位 对 于 机 密 信息 的 安全 要 求 。 随 着 物理 隔离 技术 的 日 
渐 完 善 ,物理 隔离 产品 正在 逐渐 成 为 网 络 安全 体系 中 必 不 可 少 的 环节 之 一 。 

1. 物理 隔离 的 概念 

物理 隔离 技术 的 基本 思想 是 : 如 果 不 存 在 与 网 络 的 物理 连接 ,网 络 安全 威胁 便 可 大 大 
降低 。 目 前 ,我 国有 些 单位 (如 政府 证券. 部 队 和 银行 等 ) 的 内 部 网 络 上 有 着 大 量 机 密 的 数 
据 和 信息 ,所 以 网 络 安全 在 这 些 单位 显得 非常 重要 。 为 了 确保 内 部 数据 和 信息 的 安全 ,或 者 
限制 接 人 因特网 ,或 者 使 用 两 个 完全 独立 的 网 络 。 但 事实 上 ,政府 .证 券 . 部 队 和 银行 等 单位 
不 仅 要 上 网 ,而 且 还 要 走 在 前 列 。 使 用 两 个 物理 上 独立 的 网 络 不 仅 价格 昂贵 ,而 且 不 实用 。 
当 涉 密 网 络 和 非 涉 密 网 络 之 间 通 过 移动 介质 (如 U 盘 \ 移 动 硬盘 等 ) 进 行 数据 传输 时 并 不 安 
全 。 我 国 对 计算 机 信息 安全 问题 已 经 高 度 重视 ,在 2000 年 1 月 1 日 起 由 国家 保密 局 颁布 并 
实施 的 (计算 机 信息 系统 国际 联网 保密 管理 规定 ) 第 2 章 第 6 条 中 规定 : 涉及 国家 秘密 的 计 
算 机 信息 系统 ,不 得 直接 或 间接 地 与 国际 互联 网 或 其 他 公共 信息 网 络 相连 接 , 必 须 实行 物理 
隔离 。 
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物理 隔离 技术 的 目的 就 是 实现 内 外 网 信息 的 隔离 。 实 现 物理 隔离 必须 保证 隔离 双方 的 
信息 不 会 出 现在 同一 个 存储 介质 上 ,彼此 信息 不 会 出 现在 对 方 的 网 络 中 。 因 此 ,物理 隔离 通 
常 存在 两 个 存储 介质 ,而 且 这 两 个 存储 介质 在 同一 时 刻 只 能 有 一 个 有 效 。 目 前 ,物理 隔离 的 
实现 方案 通常 包括 客户 端 选择 设备 和 网 络 选择 器 ,用 户 通过 开关 设备 或 通过 键盘 来 控制 客 
户 端 选择 不 同 的 存储 介质 。 

2. 物理 隔离 的 两 种 类 型 

物理 隔离 技术 是 解决 网 络 安全 问题 的 一 种 技术 。 从 广义 上 讲 , 物 理 隔 离 可 以 分 为 网 络 

(1) 网 络 隔离 。 网 络 隔离 就 是 把 被 保护 的 网 络 从 开放 、 无 边界 .自由 的 环境 中 独立 出 
来 。 这 样 ,公共 网 络 上 的 攻击 者 和 计算 机 病毒 将 无 从 人 手 , 保 证 了 被 保护 系统 的 安全 性 。 实 
现 网 络 隔离 主要 采用 两 种 方式 : 物理 网 络 隔离 和 这 辑 网 络 隔离 。 其 中 物理 网 络 隔离 就 是 使 
网 络 与 计算 机 设备 在 空间 上 进行 分 离 ,不 存在 有 线 或 无 线 的 电气 连接 , 它 是 最 直观 简单、 可 
靠 的 隔离 方法 。 物 理 网 络 隔离 需要 在 同一 办 公 室 、 同 一 个 大 楼 内 组 建 多 个 物理 网 络 。 逻 辑 
网 络 隔离 一 般 通 过 网 络 设备 的 功能 来 实现 。 例 如 ,目前 使 用 的 交换 机 都 支持 数据 链 路 层 
(OSI 参考 模型 第 二 层 ) 的 VLAN( 虚 拟 局 域 网 ) 功 能 ,可 实现 不 同 端口 之 间 的 逻辑 隔离 。 当 
在 一 个 二 层 交 换 机 上 划分 了 多 个 VLAN 时 ,位 于 不 同 VLAN 之 间 的 计算 机 之 间 是 无 法 直 
接 通 信 的 ,这 样 便 实 现 了 逮 辑 网 络 的 隔离 。 

(2) 数据 隔离 。 不 管 网 络 隔离 采用 的 是 物理 网 络 隔 离 还 是 逻辑 网 络 隔离 ,如 果 在 使 用 
中 出 现 一 台 计算 机 能 够 连接 两 个 或 两 个 以 上 的 网 络 ,那么 所 有 的 网 络 隔离 也 就 失去 了 意义 ， 
因为 在 同一 台 计 算 机 连接 多 个 网 络 的 过 程 中 没有 把 存储 设备 隔离 开 来 。 数 据 隔离 是 指 存储 
数据 的 介质 只 能 针对 其 中 的 一 种 网 络 而 存在 。 

通过 以 上 分 析 , 物 理 隔离 在 安全 上 需要 达到 以 下 三 点 要 求 。 

@ 在 物理 传输 上 使 不 同 网 络 之 间隔 断 ,确保 不 同 的 网 络 不 能 通过 网 络 连 接 而 侵入 不 同 
的 网 络 。 对 于 使 用 内 外 网 络 的 用 户 ,防止 内 部 网 络 中 的 数据 通过 网 络 连接 被 泄漏 到 外 部 
网 络 。 

@ 在 物理 辐射 上 隔断 不 同 网 络 ,确保 不 同 网 络 之 间 不 会 通过 电磁 辐射 或 耦合 方式 泄漏 
信息 。 

@ 在 物理 存储 介质 上 隔断 两 个 网 络 环境 ,对 于 断 电 后 会 遗失 信息 的 部 件 (如 内 存 .CPU 
等 ) ,要 在 网 络 转换 时 进行 清除 处 理 , 防 止 残留 信息 出 网 ; 对 于 断 电 非 遗失 信息 的 设备 (如 硬 
盘 、 磁 带 机 等 ) ,不 同 网 络 的 信息 应 分 开 存储 。 


1.5.10 灾难 恢复 和 备份 技术 


灾难 恢复 技术 ,也 称 为 业务 连续 性 技术 ,是 信息 安全 领域 一 项 重要 的 技术 。 它 能 够 为 重 
要 的 计算 机 系统 提供 在 断 电 、 火 灾 等 各 种 意外 事故 发 生 时 ,甚至 在 如 洪水 .地 震 等 严重 自然 
灾害 发 生 时 保持 持续 运行 的 能 力 。 对 企业 和 社会 关系 重大 的 计算 机 系统 都 应 当 采 用 灾难 恢 
复 技术 予以 保护 。 

进行 灾难 恢复 的 前 提 是 对 数据 的 备份 ,之 所 以 要 进行 数据 备份 ,是 因为 现实 生活 中 有 种 
种 人 为 或 非 人 为 因素 造成 的 意外 的 或 不 可 预测 的 灾难 发 生 , 其 中 包括 计算 机 或 网 络 系统 的 
软 硬 件 故 障 , 人 为 操作 故障 ,资源 不 足 引发 的 计划 性 停产 ,生产 场地 的 灾难 。 


传统 的 备份 技术 .主要 采用 主机 内 置 或 外 置 的 磁带 机 对 数据 进行 冷 备份 ,这 种 方法 在 数 
据 量 不 大 、 操 作 系 统 种 类 单一 、 服 务 器 数量 有 限 的 情况 下 .不 失 为 一 种 既 经 济 又 简单 的 备份 
手段 。 但 随 着 企业 计算 机 系统 规模 的 扩大 数据 量 几 何 级 的 增长 ,以 及 分 布 式 网 络 环境 的 兴 
起 ,企业 将 越 来 越 多 的 业务 分 布 在 不 同 的 机 器 .不 同 的 操作 平台 上 ,这 种 单机 的 人 工 冷 备份 
方式 已 不 再 适应 新 的 需求 。 

一 个 好 的 备份 系统 应 该 是 全 方位 、 多 层次 的 , 它 应 该 具有 下 列 特点 。 

(1) 集中 式 管理 。 

(2) 自动 化 的 备份 。 

(3) 对 大 型 数据 库 的 备份 和 恢复 。 

(4) 具备 较 强 的 备份 索引 功能 。 

(5) 归档 管理 。 

(6) 系统 灾难 恢复 。 

(7) 具有 较 好 的 可 扩展 性 。 

一 个 完整 的 备份 及 灾难 恢复 方案 ,应 该 包括 备份 硬件 、 备 份 软件 、 备 份 制度 和 灾难 恢复 
计划 4 个 部 分 。 选 用 了 先进 的 备份 硬件 后 , 绝 不 能 忽略 备份 软件 的 选择 ,因为 只 有 优秀 的 备 
份 软件 才能 充分 发 挥 硬件 的 先进 功能 ,保证 快速 有 效 的 数据 备份 和 恢复 。 此 外 ,还 需要 根 
据 企 业 自 身 情况 制定 日 常备 份 制度 和 灾难 恢复 计划 ,并 由 管理 人 员 切 实 执行 备份 制度 ,否则 
系统 安全 将 仅仅 是 纸上谈兵 。 

目前 许多 大 的 IT 厂商 都 提供 有 完整 的 备份 及 灾难 恢复 解决 办 法 ,例如 ,IBM 的 SSA 磁 
盘 系 统 .Magstar 磁带 系统 .ADSM 存储 管理 软件 ,惠普 的 单 键 灾难 恢复 技术 (OBDR) 等 , 具 
体 选用 什么 样 的 产品 ,还 要 根据 企业 的 实际 需求 及 当前 存储 产品 的 功能 特点 来 决定 。 


1.6 网 络 安全 管理 新 技术 


大 部 分 网 络 安全 问题 是 随 着 网 络 应 用 的 不 断 发 展 而 出 现 的 ,下 面 介绍 的 上 网 行为 管理 
和 UTM 是 目前 网 络 安全 管理 中 两 项 较 新 的 技术 。 


1.6.1 上 网 行为 管理 


随 着 以 Internet 为 代表 的 计算 机 网 络 的 快速 发 展 , 如 何 用 好 网 络 资源 ,使 之 更 好 地 为 用 
户 提供 服务 ,已 是 刻不容缓 的 责任 和 压力 。 伴 随 着 网 络 的 发 展 ,各 种 网 络 犯 罪 、 网 络 诈骗 和 
有 害 资源 肆意 蔓延 。 员 工 在 上 班 时 间 上 网 聊天 、 购 物 和 游戏 等 行为 严重 影响 了 工作 效率 ; 
部 分 缺乏 保密 意识 的 员工 则 通过 MSN QQ 等 即时 通信 软件 或 博客 和 邮件 等 方式 有 意 或 无 
意 地 将 组 织 内 部 机 密 信息 泄漏 ; 日 益 流行 的 BT、 电驴 等 下 载 软件 非常 容易 导致 关键 业务 
应 用 系统 带宽 无 法 保证 。 这 些 现 象 已 严重 影响 了 网 络 的 安全 ,急需 采取 相应 的 措施 进行 
管理 。 

员工 上 网 行为 管理 (Employee Internet Management. EIM) 为 解决 上 述 难 题 提供 了 可 
供 选 择 的 方案 。EIM 可 以 为 政府 监管 部 门 、 各 行业 信息 主管 部 门 及 企业 管理 用 户 提供 帮 
助 , 能 有 效 平衡 员工 上 网 所 带 来 的 影响 ,在 开放 网 络 资源 的 同时 ,最 大 限度 地 保障 网 络 资源 
不 被 滥用 。 
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EIM 相关 产品 和 应 用 已 经 过 了 以 下 几 个 发 展 阶段 。 

。 IAC(Internet Access Control,Internet 访问 控制 )。 通 过 建立 企业 网 络 地 址 数据 库 ， 
规定 哪些 网 站 不 能 访问 ,这 样 可 以 将 禁止 访问 的 几乎 大 部 分 网 站 都 被 屏蔽 ,不 允许 
员工 在 企业 网 内 访问 。 

。 IAM(Internet Access Management,Internet 访问 管理 ) 。 该 阶段 属于 Internet 接 人 
管理 的 初级 阶段 ,以 保持 企业 的 工作 效率 为 目的 ,通过 建立 相关 的 Internet 接 入 策 
略 和 管理 功能 ,对 不 同人 员 .不同 部 门 的 机 构 实施 上 网 权限 管理 和 资源 分 配 ,并 用 报 
表 形 式 系统 显示 员工 访问 Internet 的 记录 。 

。 EIM。 属 于 真正 的 上 网 行为 管理 阶段 ,以 提高 企业 的 工作 效率 为 目的 ,企业 不 但 建 
立 相 关上 网 策略 ,还 进一步 与 企业 信息 系统 的 安全 管理 结合 起 来 。 能 够 根据 用 户 对 
象 的 不 同 来 分 配 网 络 资源 ,并 能 够 建立 详细 的 员工 访问 Internet 的 日 志 , 提 供 详 细 
的 报表 ,帮助 企业 管理 层 分 析 员 工 的 上 网 行为 ,并 对 上 网 的 策略 进行 相关 调整 。 

图 1-1 所 示 的 是 某 一 单位 EIM 系统 的 部 署 情况 。 其 中 ,EIM 的 核心 设备 “网 络 行为 分 

析 系 统 ” 可 以 接 入 单位 的 中 心 交 换 机 ,从 中 心 交换 机 获得 网 络 的 流量 ,再 通过 “管理 控制 台 ” 
进行 实时 查看 和 统计 分 析 。 一 个 完整 的 EIM 系统 应 具有 以 下 功能 。 


Internet 


路 由 器 


网 络 行为 分 析 系统 
”管理 控制 台 
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图 1-1 某 单位 网 络 行为 管理 系统 网 络 示意 图 


(1) 控制 功能 。 可 合理 分 配 不 同 部 门 、 员 工 的 上 网 权限 ,如 什么 时 间 可 以 上 网 、 什 么 时 
间 不 能 上 网 ,能 够 访问 哪些 Internet 网 站 的 内 容 .哪些 Internet 资源 是 严格 禁止 使 用 的 。 男 
外 ,还 可 以 对 代理 软件 进行 封 堵 , 防 止 不 允许 上 外 网 的 员工 通过 代理 软件 上 外 网 。 

(2) 监控 与 审计 功能 。 可 以 将 所 有 与 上 网 相关 的 行为 记录 下 来 。 例 如 ,对 企业 研发 、. 财 
务 等 关键 部 门 的 上 网 行为 .聊天 内 容 和 邮件 内 容 进行 记录 ,以 便 事后 审计 ,并 在 内 部 起 到 威 
慑 的 效果 。 


(3) 报表 分 析 功 能 。 可 以 方便 直观 地 统计 分 析 员工 的 上 网 情况 , 据 此 掌握 单位 内 部 网 
络 (Intranet) 的 使 用 情况 。 

(4) 流量 控制 与 带宽 管理 。 支 持 对 不 同 员工 进行 分 组 ,通过 一 段 时 间 数 据 统计 ,限定 每 
个 组 的 上 网 流量 ,对 BT 电驴 等 P2P 下 载 软件 进行 封 堵 ,避免 其 对 网 络 带宽 资源 的 消耗 。 


1.6.2 统一 威胁 管理 


统一 威胁 管理 (Unified Threat Management, UTM) 是 一 种 被 广泛 看 好 的 信息 安全 解 
决 方案 。 

1.UTM 的 定义 

UTM 首先 出 现在 2003 年 IDC(Internet Data Center, 互 联网 数据 中 心 ) 的 研究 报告 中 。 
IDC 报告 中 将 UTM 定义 为 包括 firewall,intrusion detection and prevention ,and gateway 
anti-virus 的 设备 。 如 图 1-2 所 示 ,UTM 是 一 个 以 整合 式 安全 设备 为 代表 的 安全 产品 , 它 包 
括 防 火 墙 .入侵 检测 与 防护 (IDS/IPS) 及 网 关 防 病毒 等 功能 。UTM 是 由 硬件 .软件 和 网 络 
技术 组 成 的 具有 专门 用 途 的 设备 ,主要 提供 一 项 或 多 项 安全 功能 ,将 多 种 安全 特性 集成 于 一 
个 硬件 设备 里 ,构成 一 个 标准 的 统一 管理 平台 。 


(IDs/Ps ) 防火 墙 人 防 病毒 ) VolP 


(ie) ( ”VPN ) (内 容 过 滤 ) 路 由 器 


图 1-2 UTM 系统 提供 的 功能 


具体 来 讲 ,UTM 具有 传统 的 网 络 防 火 墙 的 功能 ,可 以 提供 防火 墙 所 具有 的 状态 检测 、 
包 过 滤 等 基本 的 安全 管理 功能 。 同 时 提供 了 网 络 防御 ,能 够 抵御 DoS/DDoS( 拒 绝 服务 /分 
布 式 拒 绝 服务 ) 。 还 可 以 防御 病毒 和 恶意 软件 ,垃圾 邮件 及 网 络 钓鱼 的 攻击 。 

2. UTM 的 功能 

UTM 提供 了 以 下 功能 。 

(1) 整合 网 络 安全 。 在 UTM 概念 出 现 之 前 ,局 域 网 为 了 防御 各 种 各 样 的 威胁 ,需要 配 
置 多 个 单 功能 的 安全 产品 ,例如 防火 墙 防 病毒 网 关 、 防 垃圾 邮件 系统 及 URL 过 滤 网 关 等 。 
由 于 这 些 安 全 产品 分 别 由 不 同 的 厂商 提供 ,所 以 管理 和 维护 很 不 方便 。 另 外 ,网 络 中 每 增加 
一 台 设 备 就 会 增加 一 个 故障 点 ,不 利于 系统 的 安全 运行 。UTM 的 提出 解决 了 局 域 网 络 必 
须 管 理 多 个 单 功能 产品 的 难题 。 通 过 单一 的 操作 系统 与 管理 接口 ,提供 一 个 能 够 满足 多 方 
位 安全 需求 的 全 功能 架构 。 

(2) 降低 技术 复杂 度 。UTM 安全 设备 中 装 人 了 很 多 功能 模块 ,提高 了 局 域 网 的 易 用 
性 。 另 外 ,这 些 功能 模块 的 协同 运作 无 形 中 降低 了 掌握 和 管理 各 种 安全 功能 的 难度 ,并 减少 
了 用 户 误 操 作 的 可 能 性 。 

(3) 简化 网 络 管理 。UTM 的 价值 在 于 简化 管理 , 即 以 最 精简 的 单一 设备 来 达到 所 需要 
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者 一 恰 
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的 网 络 管理 水 平 ,并 具有 快速 迁移 、 集 中 管理 和 节省 成 本 的 优势 。 

另外 ,UTM 产品 还 具有 降低 安全 管理 的 复杂 度 .集成 的 维护 平台 ,单一 服务 体系 结构 、 
集中 的 安全 日 志 管 理 、 组 合式 的 安全 保护 、 应 用 的 灵活 性 、 良 好 的 可 扩展 性 及 进一步 降低 成 
本 等 优势 ,为 目前 流行 的 安全 威胁 提供 有 效 的 防御 机 制 。 

3. UTM 的 发 展 

UTM 设备 可 说 是 计算 机 网 络 安全 解决 方案 的 一 个 重要 突破 。 综 合 分 析 目 前 网 络 安全 
产品 的 功能 ,UTM 具有 显著 的 优点 ,而 且 相 关 的 技术 正在 应 用 中 不 断 发 展 和 完善 。 现 在 ， 
UTM 设备 已 经 为 用 户 提供 了 分 层 安 全 (layer security) 的 功能 , 它 可 以 与 用 户 计 算 机 上 安装 
的 防 病毒 软件 ,在 防火 墙 上 添加 的 防毒 墙 功能 配合 工作 ,为 用 户 提供 重重 防护 关卡 。 另 外 ， 
现在 已 经 有 厂商 开始 将 VoIP .路 由 器 等 功能 整合 进 UTM 设备 中 。 

随 着 网 络 新 型 应 用 的 不 断 出 现 和 各 种 安全 威胁 的 产生 ,将 来 UTM 产品 还 将 融入 更 多 
的 安全 防护 功能 ,并 支持 各 种 操作 系统 。 


习 题 


-1 结合 目前 网 络 的 应 用 , 简 述 为 什么 要 研究 网 络 安全 。 

-2 计算 机 网 络 的 不 安全 性 主要 由 哪些 因素 引起 ? 如 何 解决 ? 

-3 网 络 安全 的 概念 是 什么 ? 

-4 计算 机 网 络 主要 存在 哪些 安全 威胁 ? 

-5 在 计算 机 网 络 的 安全 管理 中 ,物理 安全 策略 和 访问 控制 策略 有 何 特点 ? 
-6 在 计算 机 网 络 中 ,常用 的 安全 管理 技术 有 哪些 ? 

-7 结合 单位 网 络 的 应 用 特点 , 谈 谈 上 网 行为 管理 的 重要 性 。 

-8 ”什么 是 UTM? UTM 在 计算 机 网 络 安 全 管理 中 发 挥 着 什么 作用 ? 

-9 什么 是 密 饶 技术 ? 在 计算 机 网 络 安全 研究 中 蜜 饶 能 够 发 挥 什么 作用 ? 
-10 什么 是 物理 隔离 ?在 计算 机 网 络 安全 管理 中 有 何 意义 ? 


第 2 章 数据 加 密 技 术 及 应 用 


数据 加 密 技术 是 指 对 在 网 络 中 所 发 送 的 明文 消息 用 加 密 密 钥 加 密 成 密 文 进行 传送 , 接 
收 方 用 解密 密 钥 进行 解密 再 现 明文 消息 ,从 而 保证 传输 过 程 中 密 文 信息 即使 被 泄漏 ,在 无 密 
钥 的 情况 下 仍 是 安全 保密 的 。 目 前 ,数据 加 密 技术 已 被 普遍 应 用 于 计算 机 网 络 信息 的 安全 
管理 中 。 通 过 本 章 的 学 习 , 读 者 将 对 网 络 安全 的 基础 理论 有 比较 全 面 的 了 解 ,对 密码 学 的 主 
要 算法 .技术 和 应 用 有 比较 全 面 的 认识 。 


2.1 数据 加 密 概述 


在 计算 机 网 络 中 ,我 们 需要 一 种 措施 来 保护 数据 的 安全 性 ,防止 被 一 些 别有用心 的 人 利 
用 或 破坏 ,这 在 客观 上 就 需要 一 种 强 有 力 的 安全 措施 来 保护 机 密 数 据 不 被 窃取 或 自 改 。 数 
据 加 密 技术 是 为 了 提高 信息 系统 及 数据 的 安全 性 和 保密 性 ,防止 秘密 数据 被 外 部 破 析 所 采 
用 的 主要 技术 手段 之 一 。 随 着 信息 技术 的 发 展 ,网 络 安全 与 信息 保密 日 益 引 起 人 们 的 关注 。 
我 们 除 在 法 律 和 制度 及 管理 手段 上 加 强 数据 的 安全 管理 外 ,还 需要 推动 数据 加 密 技术 和 物 
理 防 范 技术 的 应 用 和 不 断 发 展 。 


2.1.1 数据 加 密 的 必要 性 


自从 有 了 消息 的 传递 就 有 了 对 消息 保密 的 要 求 , 因 此 可 以 说 密码 学 的 历史 非常 悠久 。 
但 在 很 长 一 段 时间 内 ,密码 学 主要 用 于 军事 ,政治 和 外 交 等 用 途 。 

到 了 20 世纪 70 年 代 , 随 着 信息 量 的 剧 增 , 人 们 对 信息 的 保密 需求 也 从 以 往 的 军事 、 政 
治 和 外 交 迅 速 发 展 到 民用 和 商用 领域 ,从 而 导致 了 密码 学 理论 和 密码 技术 的 快速 发 展 。 同 
时 ,计算 机 技术 和 微 电 子 技术 的 发 展 ,也 为 密码 学 理论 的 研究 和 实现 提供 了 强 有 力 的 手段 和 
工具 。 进 入 20 世纪 80 年 代 以 来 , 随 着 计算 机 网 络 和 传统 通信 网 络 的 广泛 应 用 ,对 密码 理论 
和 技术 的 研究 更 呈 快 速 上 升 的 趋势 。 密 码 学 在 雷达 .导航 .遥控 和 遥测 等 领域 发 挥 着 重要 作 
用 的 同时 ,开始 渗透 到 通信 、 计 算 机 及 各 种 信息 系统 中 。 

举例 来 说 ,在 学 校 的 各 项 管理 中 越 来 越 依赖 于 计算 机 网 络 。 如 人 事 管理 系统 、 工 资 管 理 
系统 、 账 务 管理 系统 教务 管理 系统 和 科研 成 果 管 理 系 统 等 ,其 中 的 重要 数据 都 存放 在 计算 
机 中 ,不 仅 要 求 数据 具有 较 高 的 安全 性 和 保密 性 ,而 且 要 求 对 数据 的 完整 性 及 访问 方式 进行 
科学 管理 。 对 企业 来 说 ,产品 的 核心 技术 需要 保密 ,新 产品 的 研发 需要 保密 ,企业 的 产 、 销 、 
利润 及 市 场 策略 等 关键 信息 需要 保密 。 即 使 对 家 庭 用 户 来 说 ,如 个 人 隐私 、 家 庭 收 入 、 现 金 
的 储蓄 和 投资 等 信息 都 需要 保密 。 

因此 ,在 全 社会 越 来 越 依赖 信息 的 同时 ,人 们 的 信息 安全 意识 越 来 越 高 ,密码 学 和 安全 
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技术 越 来 越 受 到 人 们 的 关注 。 
2.1.2 数据 加 密 的 基本 概念 


密码 技术 通过 信息 的 变换 或 编码 ,将 机 密 的 敏感 消息 变换 成 为 难以 读 懂 的 乱码 字符 ,以 
此 达到 两 个 目的 : 一 是 使 不 知道 如 何 解密 的 窃听 者 不 可 能 由 其 截获 的 乱码 中 得 到 任何 有 意 
义 的 信息 ; 二 是 使 窃听 者 不 可 能 伪造 任何 乱码 型 的 信息 。 研 究 密码 技术 的 学 科 称 为 密码 
学 ,其 中 密码 编码 学 主要 对 信息 进行 编码 ,实现 信息 隐蔽 ; 而 密码 分 析 学 研究 分 析 破 译 密码 
的 学 问 。 两 者 相互 对 立 , 而 又 相互 促进 。 

加 密 的 目的 是 防止 机 密 信 息 的 泄露 ,同时 还 可 以 用 于 证 实 信息 源 的 真实 性 ,验证 所 接收 
到 的 数据 的 完整 性 。 加 密 系统 是 指 对 信息 进行 编码 和 解码 所 使 用 的 过 程 、 算 法 和 方法 的 统 
称 。 加 密 通常 需要 使 用 隐蔽 的 转换 ,这 个 转换 需要 使 用 密 钥 进行 加 密 , 并 使 用 相反 的 过 程 进 
行 解密 。 

通常 ,将 加 密 前 的 原始 数据 或 消息 称 为 明文 (plaintext) ,而 将 加 密 后 的 数据 称 为 密 文 
《ciphertext) ,在 密码 中 使 用 并 且 只 有 收发 双方 才 知道 的 信息 称 为 密 钥 (key)。 通 过 使 用 密 
本 钥 将 明文 转换 成 密 文 的 过 程 称 为 加 密 , 其 反 向 过 程 (将 密 文 


转换 为 原来 的 明文 ) 称 为 解密 。 对 明文 进行 加 密 时 采用 的 一 
,| 组 规则 称 为 加 密 算法 。 对 密 文 解密 时 采用 的 一 组 规则 称 为 


明 》 密 钥 
和 | “解密 算法 。 加 密 算法 和 解密 算法 是 在 一 组 仅 有 合法 用 户 知 
二 道 的 密 钥 的 控制 下 进行 的 .加密 和 解密 过 程 中 使 用 的 密 钥 分 


别称 为 加 密 密 钥 和 解密 密 钥 。 加 密 和 解密 的 转换 关系 如 
图 2-1 加 密 与 解密 的 转换 关系 图 2-1 所 示 。 

需要 说 明 的 是 ,解密 主要 针对 合法 的 接收 者 ,而 非法 接收 者 在 截获 密 文 后 试图 从 中 分 析 
出 明文 的 过 程 称 为 “破译 ”。 

图 2-2 是 对 图 2-1 加 密 与 解密 转换 关系 的 数学 表示 , 称 为 密码 通信 系统 模型 , 它 由 以 下 
几 个 部 分 组 成 。 

。 M: 明文 消息 空间 。 

。 万 : 密 文 消 息 空间 。 

。 Ki 和 K;: 密 钥 空间 。 

。 加密 变换 : Eu : ME, 其 中 EK。 

。 解密 变 换 : Du : E-~M, 其 中 心 EK。。 

将 CM, 忆 ,Ki ,KK ,Eu ,Du ) 称 为 密码 系统 。 例 如 ,给 定 明 文 消息 mE M, 密 钥 & EK, 将 
明文 m 变换 为 密 文 c 的 过 程 为 ， 

c= ja) = Ex (m) mEM, khEKI 
合法 接收 者 利用 其 知道 的 解密 密 钥 K, 对 收 到 的 密 文 进行 变换 ,恢复 出 明文 消息 : 
m= Du (c) MEAM，AEK， 

如 果 是 窃听 者 , 则 利用 其 选 定 的 变换 函数 ,对 截获 的 密 文 c 进行 变换 ,得 到 的 明文 是 

明文 空间 的 某 个 元 素 m ,其 中 : 


m’ = h(e) 
一 般 情况 下 m' 隆 m, 如 果 m= 二 mm, 则 窃听 者 已 破译 成 功 。 
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图 2-2 密码 通信 系统 模型 


2.1.3 对 称 加 密 和 非 对 称 加 密 


目前 已 经 设计 出 的 密码 系统 是 各 种 各 样 的 。 如 果 以 密 钥 为 标准 ,可 将 密码 系统 分 为 单 
钥 密 码 系统 和 双 钥 密码 系统 。 其 中 , 单 钥 密 码 系统 又 称 为 对 称 密码 或 私 钥 密码 系统 , 双 钥 密 
码 系统 又 称 为 非 对 称 密码 或 公 钥 密码 系统 。 相 应 的 ,采用 单 钥 密 码 系统 的 加 密 方法 ,同一 个 
密 钥 可 同时 用 作 信 息 的 加 密 和 解密 ,这 种 加 密 方法 称 为 对 称 加 密 ,也 称 作 单 密 钥 加 密 。 另 一 
种 是 采用 双 钥 密码 系统 的 加 密 方法 ,在 一 个 过 程 中 使 用 两 个 密 钥 ,一 个 用 于 加 密 , 另 一 个 用 
于 解密 ,这 种 加 密 方法 称 为 非 对 称 加 密 ,也 称 为 公 钥 加 密 , 因 为 其 中 的 一 个 密 钥 是 公开 的 ( 另 
一 个 则 需要 保密 ) 。 

1. 对 称 加 密 

对 称 加 密 的 缺点 是 密 钥 需要 通过 直接 复制 或 网 络 传输 的 方式 由 发 送 方 传 给 接收 方 , 同 
时 无 论 加 密 还 是 解密 都 使 用 同一 个 密 钥 , 所 以 密 钥 的 管理 和 使 用 很 不 安全 。 如 果 密 钥 泄露 ， 
则 此 密码 系统 便 被 攻破 。 另 外 ,通过 对 称 加 密 方式 无 法 解决 消息 的 确认 问题 ,并 缺乏 自动 检 
测 密 钥 泄露 的 能 力 。 对 称 加 密 的 优点 是 加 密 和 解密 的 速度 快 。 最 具有 影响 力 的 对 称 加 密 方 
式 是 1977 年 美国 国家 标准 技术 委员 会 (NIST, 其 前 身 为 美国 国家 标准 局 NBS) 颁 布 的 DES 
算法 。 

2. 非 对 称 加 密 

在 非 对 称 加 密 中 ,加 密 密 钥 与 解密 密 钥 不 同 , 此 时 不 需要 通过 安全 通道 来 传输 密 钥 ,只 
需要 利用 本 地 密 钥 发 生 器 产生 解密 密 钥 ,并 以 此 进行 解密 操作 。 由 于 非 对 称 加 密 的 加 密 和 
解密 不 同 , 且 能 够 公开 加 密 密 钥 , 仅 需要 保密 解密 密 钥 ,所 以 不 存在 密 钥 管理 问题 。 非 对 称 
加 密 的 另 一 个 优点 是 可 以 用 于 数字 签名 。 但 非 对 称 加 密 的 缺点 是 算法 一 般 比 较 复杂 ,加 密 
和 解密 的 速度 较 慢 。 非 对 称 加 密 是 1976 年 W. Diffie 和 M. E. Hellman 提出 的 一 种 新 型 密 
码 体制 ,最 有 和 名 的 非 对 称 加 密 方式 是 1977 年 由 Rivest、Shamir 和 Adleman 共同 提出 的 
RSA 密码 体制 。 

在 实际 应 用 中 ,一 般 将 对 称 加 密 和 非 对 称 加 密 两 种 方式 混合 在 一 起 来 使 用 。 即 在 加 密 
和 解密 时 采用 对 称 加 密 方式 , 密 钥 传送 则 采用 非 对 称 加 密 方式 。 这 样 既 解 决 了 密 钥 管理 的 
困难 ,又 解决 了 加 密 和 解密 速度 慢 的 问题 。 
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2.1.4 序列 密码 和 分 组 密码 


根据 密码 算法 对 明文 处 理 方式 的 标准 不 同 ,可 以 将 密码 系统 分 为 序列 密码 和 分 组 密码 
两 类 。 

1. 序列 密码 

序列 密码 也 称 为 流 密码 ,其 思想 起 源 于 20 世纪 20 年 代 , 最 早 的 二 进 制 序列 密码 系统 是 
Vernam 密码 。Vernam 密码 将 明文 消息 转化 为 二 进 制 数字 序列 , 密 钥 序列 也 为 二 进 制 数字 
序列 。 加 密 是 按 明文 序列 和 密 钥 序列 逐 位 模 2 相 加 ( 即 异 或 操作 XOR ) 进 行 ,解密 也 是 按 密 
文 序列 和 密 钥 序 列 逐 位 模 2 相 加 进行 。 

当 Vernam 密码 中 的 密 钥 序列 是 完全 随机 的 二 进 制 序列 时 ,就 是 著名 的 “一 次 一 密 ” 密 
码 (在 本 章 随 后 专门 进行 介绍 ) 。 一 次 一 密 密 码 是 完全 保密 的 ,但 它 的 密 钥 产生 、 分 配 和 管理 
都 不 方便 。 随 着 微 电 子 技术 和 数学 理论 的 发 展 ,基于 伪 随 机 序列 的 序列 密码 应 运 而 生 。 序 
列 密码 的 加 密 过 程 是 先 把 报 文 、 语 音 、 图 像 和 数据 等 原始 明文 转换 成 明文 数据 序列 ,然后 将 
它 同 密 钥 序列 进行 逐 位 加 密生 成 密 文 序列 发 送 给 接收 者 。 接 收 者 用 相同 的 密 钥 序列 对 密 文 
序列 进行 逐 位 解密 来 恢复 明文 序列 。 序 列 密码 不 存在 数据 扩展 和 错误 传播 ,实时 性 好 ,加 密 
和 解密 实现 容易 ,因而 是 一 种 应 用 广泛 的 密码 系统 。 

2. 分 组 密码 

分 组 密码 的 加 密 方式 是 先 将 明文 序列 以 固定 长 度 进行 分 组 ,然后 将 每 一 组 明文 用 相同 
的 密码 和 加 密 函 数 进行 运算 。 为 了 减 小 存储 量 ,并 提高 运算 速度 , 密 钥 的 长 度 一 般 不 大 , 因 
而 加 密 函 数 的 复杂 性 成 为 系统 安全 的 关键 。 分 组 密码 的 优点 是 不 需要 密 钥 同步 ,具有 较 强 
的 适用 性 ,适宜 作为 加 密 标准 。 缺 点 是 加 密 速度 慢 。DES 和 DEA 是 典型 的 分 组 密码 。 


2.1.5 网 络 加密 的 实现 方法 


基于 密码 算法 的 数据 加 密 技术 是 所 有 网 络 上 的 通信 安全 所 依赖 的 基本 技术 。 目 前 对 网 
络 数据 加 密 主 要 有 链 路 加 密 .节点 对 节点 加 密 和 端 对 端 加 密 三 种 实现 方式 。 

1. 链 路 加 密 

链 路 加 密 又 称 在 线 加 密 , 它 是 对 在 两 个 网 络 节点 间 的 某 一 条 通信 和 链 路 实施 加 密 , 是 目前 
网 络 安全 系统 中 主要 采用 的 方式 。 链 路 加 密 能 为 网 上 传输 的 数据 提供 安全 保证 ,所 有 消息 
在 被 传输 之 前 进行 逐 位 加 密 ,在 每 一 个 节点 对 接收 到 的 消息 进行 解密 ,然后 使 用 下 一 个 链 路 
的 密 钥 对 消息 进行 加 密 后 再 进行 传输 。 在 链 路 加 密 方式 中 ,不 仅 对 数据 报 文 的 正文 加 密 , 而 
且 把 路 由 信息 、 校 验 和 等 控制 信息 全 部 加 密 。 所 以 , 当 数 据 报 文 传输 到 某 一 个 中 间 节 点 时 ， 
必须 先 被 解密 以 获得 路 由 信息 和 检验 和 ,进行 路 由 选择 .差错 检测 ,然后 再 被 加 密 ,发 送 给 下 
一 个 节点 ,直到 数据 报 文 到 达 目 的 节点 为 止 。 

如 图 2-3 所 示 ,在 链 路 加 密 方式 下 ,只 对 通信 和 链 路 中 的 数据 加 密 ,而 不 对 网 络 节点 内 的 
数据 加 密 。 因 此 在 中 间 节 点 上 的 数据 报 文 是 明文 出 现 的 ,而 且 要 求 网 络 中 的 每 一 个 中 间 节 
点 都 要 配置 安全 单元 ( 即 信息 加 密 设备 ) 。 相 邻 两 个 节点 的 安全 单元 使 用 相同 的 密 钥 。 这 种 
使 用 不 是 很 方便 ,因为 需要 网 络 设施 的 提供 者 (如 线路 运营 商 ) 的 配合 ,修改 每 一 个 交换 节 
点 ,这 种 方式 在 广域网 上 显然 是 不 太 现实 的 。 在 传统 的 加 密 算法 中 ,用 于 解密 消息 的 密 钥 与 
用 于 加 密 的 密 钥 是 相同 的 ,该 密 钥 必须 被 秘密 保存 ,并 按 一 定 规则 进行 变化 。 这 样 , 密 钥 分 


配 在 链 路 加 密 系 统 中 就 成 了 一 个 问题 ,因为 每 一 个 节点 必须 存储 与 其 相连 接 的 所 有 链 路 的 
加 密 密 钥 ,这 就 需要 对 密 钥 进行 物理 传送 或 者 建立 专用 网 络 设施 。 而 网 络 节点 地 理 分 布 的 
广阔 性 使 得 这 一 过 程 变 得 复杂 ,同时 增加 了 密 钥 连 续 分 配 时 的 费用 。 链 路 加 密 方式 的 优点 
是 应 用 系统 不 受 加 密 和 解密 的 影响 ,所 以 容易 被 采用 。 


节点 1 节点 2 节点 3 节点 4 
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图 2-3 链 路 加 密 过 程 示意 图 


2， 节 点 对 节点 加 密 

节点 对 节点 加 密 是 为 了 解决 在 节点 中 的 数据 是 明文 的 这 一 缺点 ,在 中 间 节 点 里 装 有 用 
于 加 密 和 解密 的 保护 装置 ,由 这 个 装置 来 完成 一 个 密 钥 向 另 一 个 密 钥 的 交换 。 因 而 ,除了 在 
保护 装置 里 ,即使 在 节点 内 也 不 会 出 现 明文 。 

尽管 节点 对 节点 加 密 能 给 网 络 数据 提供 较 高 的 安全 性 ,但 它 在 操作 方式 上 与 链 路 加 密 
类 似 : 两 者 均 在 通信 链 路 上 为 传输 的 消息 提供 安全 性 ; 都 在 中 间 节 点 先 对 消息 进行 解密 ， 
然后 进行 加 密 。 因 为 要 对 所 有 传输 的 数据 进行 加 密 , 所 以 加 密 过 程 对 用 户 是 透明 的 。 然 而 ， 
与 链 路 加 密 不 同 ,节点 对 节点 加 密 不 允许 消息 在 网 络 节点 以 明文 形式 存在 , 它 先 把 收 到 的 消 
息 进行 解密 ,然后 采用 男 一 个 不 同 的 密 钥 进行 加 密 , 这 一 过 程 是 在 节点 上 的 一 个 安全 模块 中 
进行 。 节 点 对 节点 加 密 要 求 报头 和 路 由 信息 以 明文 形式 传输 ,以 便 中 间 节 点 能 快速 得 到 路 
由 信息 和 校 验 和 ,加 快 消息 的 处 理 速 度 。 

但 是 ,节点 对 节点 加 密 与 链 路 加 密 方式 一 样 存在 一 个 共同 的 弱点 : 需要 公共 网 络 提供 
者 的 配合 ,修改 公共 网 络 的 交换 节点 ,增加 安全 单元 或 保护 装置 。 

3. 端 对 端 加 密 

为 了 解决 链 路 加 密 和 节点 对 节点 加 密 中 存在 的 不 足 , 人 们 提出 了 端 对 端 加 密 方式 。 端 
对 端 加 密 又 称 脱 线 加 密 或 包 加 密 , 它 允许 数据 在 从 源 节点 被 加 密 后 ,到 终点 的 传输 过 程 中 始 
终 以 密 文 形式 存在 。 消 息 在 到 达 终 点 之 前 不 进行 解密 ,只 有 消息 到 达 目 的 节点 后 才 被 解密 。 
因为 消息 在 整个 传输 过 程 中 均 受 到 保护 ,所 以 即使 有 节点 被 损坏 也 不 会 使 消息 泄露 。 因 此 ， 
端 对 端 加 密 方式 可 以 实现 按 各 通信 对 象 的 要 求 改变 加 密 密 钥 ,以 及 按 应 用 程序 进行 密 钥 管 
理 等 ,而且 采 用 这 种 方式 可 以 解决 文件 加 密 问题 。 

链 路 加 密 方式 是 对 整个 链 路 通信 采取 保护 措施 ,而 端 对 端 加 密 方式 则 是 对 整个 网 络 系 
统 采取 保护 措施 。 端 对 端 加 密 系统 更 容易 设计 实现 和 维护 , 且 成 本 相对 较 低 。 端 对 端 加 密 
还 避免 了 其 他 加 密 系 统 所 固有 的 同步 问题 ,因为 每 个 报 文 段 均 是 独立 被 加 密 的 ,所 以 一 个 报 
文 段 所 发 生 的 传输 错误 不 会 影响 后 续 的 报 文 段 。 此 外 , 端 对 端 加 密 方式 不 依赖 于 底层 网 络 
基础 设施 ,不 但 在 局 域 网 内 部 可 以 实施 ,也 可 以 在 广域网 上 实施 。 端 对 端 加 密 系 统 通 常 不 允 
许 对 消息 的 目的 地 址 进行 加 密 , 这 是 因为 每 一 个 消息 所 经 过 的 节点 都 要 用 此 地 址 来 确定 如 
何 传输 消息 。 因 此 , 端 对 端 加 密 方式 是 未 来 的 发 展 趋势 。 

由 于 端 对 端 加 密 方法 不 能 掩盖 被 传输 消息 的 源 节点 与 目的 节点 ,因此 它 对 于 防止 攻击 
者 分 析 通 信 业 务 是 脆弱 的 。 
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2.1.6 软件 加 密 和 硬件 加 密 


目前 具体 的 数据 加 密实 现 方法 主要 有 两 种 : 软件 加 密 和 硬件 加 密 。 

1. 软件 加 密 

软件 加 密 一 般 是 用 户 在 发 送信 息 前 , 先 调用 信息 安全 模块 对 信息 进行 加 密 处 理 , 然 后 进 
行 发 送 。 到 达 接 收 端 后 ,由 用 户 用 相应 的 解密 软件 进行 解密 处 理 ,还 原 成 为 明文 。 采 用 软件 
加 密 方式 的 优点 是 : 已 有 标准 的 安全 API( 信 息 安 全 应 用 程序 模块 ) 产 品 , 且 实现 方便 ,兼容 
性 好 。 但 是 采用 软件 加 密 方式 有 如 下 一 些 安全 隐患 。 

(1) 密 钥 的 管理 很 复杂 ,这 也 是 目前 安全 API 实现 的 一 个 难题 ,从 目前 已 有 的 API 产 
品 来 看 , 密 钥 分 配 协议 均 存 在 一 定 的 缺陷 。 

(2) 因为 加 密 和 解密 过 程 都 是 在 用 户 的 计算 机 内 部 进行 ,所 以 容易 给 攻击 者 采用 程序 
跟踪 \ 反 编译 等 手段 进行 攻击 。 

(3) 软件 加 密 的 速度 相对 较 慢 。 

2. 硬件 加 密 

硬件 加 密 是 采用 专门 的 硬件 设备 实现 消息 的 加 密 和 解密 处 理 。 随 着 微 电 子 技术 的 发 
展 ,现在 许多 加 密 产 品 都 是 特定 的 硬件 加 密 形 式 。 这 些 加 、 解 密 芯 片 被 嵌入 到 通信 线路 中 ， 
然后 对 所 有 通过 的 数据 进行 加 密 和 人 解密 处 理 。 虽然 软 件 加 密 在 今天 变 得 很 流行 ,但 是 硬件 
加 密 仍 然 是 商业 和 军事 应 用 的 主要 选择 。 硬 件 加 密 的 特点 如 下 。 

(1) 易于 管理 。 硬 件 加 密 可 以 采用 标准 的 网 络 管理 协议 (如 SNMP 或 CMIP 等 ) 来 进 
行 管理 ,也 可 以 采用 统一 的 自 定义 网 络 管理 协议 进行 管理 ,因此 密 钥 的 管理 比较 方便 。 

(2) 处 理 速度 快 。 加 密 算法 通常 含有 很 多 对 明文 位 的 复杂 运算 ,这 要 求 处 理 设备 具有 和 较 
强 的 处 理 能 力 。 例 如 ,目前 常用 的 加 密 算 法 DES 和 RSA 在 普通 用 途 的 微 处 理 器 上 的 运行 效 
率 是 非常 低 的 。 另 外 ,加 密 通常 是 高 强度 的 计算 任务 , 微 处 理 器 显然 不 适合 处 理 此 类 工作 。 如 
果 将 加 密 操作 移植 到 专用 芯片 上 ,可 以 分 担 计 算 机 微 处 理 器 的 工作 ,使 整个 系统 的 速度 加 快 。 

(3) 安全 性 提高 。 可 以 对 加 密 设 备 进行 物理 隔离 ,使 得 攻击 者 无 法 对 其 进行 直接 攻击 。 
对 运行 在 没有 物理 保护 的 一 般 主机 上 的 每 个 加 密 算 法 ,很 可 能 被 攻击 者 用 各 种 跟踪 工具 攻 
击 。 硬 件 加 密 设备 可 以 安全 地 封装 起 来 ,以 避免 此 类 事情 的 发 生 。 

(4) 易于 安装 。 在 用 于 加 密 的 两 个 节点 之 间 部 署 加 密 设备 非常 简单 ,不 需要 修改 计算 
机 和 网 络 的 任何 配置 。 对 用 户 来 说 ,加 密 设 备 是 透明 的 ,不 会 影响 用 户 的 使 用 。 如 果 要 实现 
软件 加 密 ,需要 将 加 密 程 序 写 人 操作 系统 或 应 用 软件 ,实现 比较 复杂 。 


2.2 古典 密码 介绍 
本 节 简 要 介绍 几 种 古典 密码 体制 。 虽 然 这 些 密码 现在 已 经 很 少 使 用 ,但 它们 对 于 理解 
和 分 析 现代 实用 密码 是 很 有 意义 的 。 
2.2.1 简单 替换 密码 


简单 蔡 换 密码 是 古典 密码 中 使 用 最 早 的 一 种 密码 机 制 , 其 实现 方法 是 将 明文 按 字母 表 
中 当前 的 位 置 向 后 移动 n 位 , 便 得 到 加 密 后 的 密 文 ,这 里 的 n 就 是 密 钥 。 例 如 , 当 n=3( 即 


以 4 二 3 为 密 钥 ) 时 ,字符 表 的 替换 如 下 (为 便于 表述 ,约定 在 明文 中 使 用 小 写字 母 ,而 在 密 文 
中 使 用 大 写字 母 ) 。 

明文 :abcdefghijklmnopqrstuvwxyz 

密 文 :DEFGHIJKLMNOPQRSTUVWXYZABC 

在 简单 蔡 换 密码 体制 中 ,加 密 时 ,将 明文 的 每 一 个 字母 根据 字母 表 中 的 位 置 向 后 移动 * 
位 得 到 密码 文 。 解 密 时 ,将 密 文中 的 每 一 个 字母 根据 字母 表 中 的 位 置 向 前 移动 n 位 便 得 到 
明文 。 使 用 简单 替换 密码 时 ,明文 attack 将 被 变换 为 DWWDFN。 

当 n= 二 3 时 的 密码 体制 由 于 被 已 撤 (Caesar) 成 功 使 用 ,所 以 也 称 为 恺 撒 密 码 。 

在 简单 蔡 换 密码 中 ,所 有 可 能 的 密码 的 取 值 为 mnE{11,2,3,…25}。 当 ?一 0 和 7 一 26 
时 明文 和 密 文 相同 。 

当 攻 击 者 得 到 一 个 密 文 ,并 且 知 道 该 密码 是 采用 简单 替换 密码 进行 加 密 处 理 而 来 时 ,最 
多 可 经 过 25 种 尝试 ,就 可 以 得 到 明文 。 所 以 简单 替换 密码 的 密 钥 空 间 是 很 有 限 的 。 

由 于 简单 替换 密码 的 不 可 靠 性 ,所 以 后 来 人 们 对 它 进 行 了 改进 ,让 明文 中 的 每 一 个 符号 
(包括 字母 .数字 及 特殊 符号 等 ) 都 映射 到 另 一 个 指定 的 符号 上 ,如 下 所 示 ( 以 字母 映射 为 
例 ) 。 

明文 :abcdefghijklmnopqrstuvwxyz 

密 文 : QWERTYUIOPASDFGHJKLZXCVBNM 

这 种 “符号 对 符号 ?进行 替换 的 通用 系统 称 为 "单字 母 表 替换 ”, 其 密 钥 是 对 应 于 整个 字 
母 表 的 26 个 字母 串 。 明 文 attack 将 被 变换 为 QZZQEA。 

与 简单 替换 密码 相 比 ,这 种 "符号 对 符号 ?的 密码 是 非常 安全 的 ,因为 密码 分 析 者 要 想 试 
遍 所 有 的 密 钥 不 是 一 件 容 易 的 事情 。 以 26 个 字母 之 间 的 映射 为 例 , 密 钥 的 可 能 性 总 共有 
26!1<:4X1028 种 。 


2.2.2 双重 置换 密码 


使 用 双重 转换 密码 进行 加 密 时 ,首先 将 明文 写成 给 定 大 小 的 矩阵 形式 ,然后 根据 给 定 的 
置换 规则 对 行 和 列 分 别 进行 置换 。 例 如 ,对 明文 attackattomorrow 写成 4X4 的 矩阵 形式 ， 
Qt i a 
人 
1 0 m DO 


的 人 DO TU 
然后 ,按照 (1,2,3,4) 一 (2,3,4,1) 的 规则 进行 行 置换 ,然后 再 按照 (1,2,3,4) 一 (3,4,2,1) 
的 规则 进行 列 置换 。 操 作 如 下 : 


号 二 时/ 海 [Ee: a tt krc 
人 更- 本 to m 0 m o ot 
和 a 
2 rr 六 码 ow rr 
rr 0 w 全 区 t a ta 


从 而 得 到 的 密 文 为 ATKCMOOTOWRRTATA。 
在 双重 置换 密码 体制 中 , 密 钥 由 矩阵 的 大 小 及 行 、 列 置换 规则 组 成 。 接 收 者 如 果 知 道 密 
钥 ,就 可 以 通过 加 密 过 程 使 用 的 矩阵 大 小 及 行 、 列 的 置换 规则 来 进行 着 向 操作 ,从 而 恢复 得 
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地 咏 如 


计算 机 网 络 安 全 技术 


到 明文 。 例 如 ,对 于 前 面 得 到 的 密 文 ,可 以 先 写成 4X4 的 矩阵 形式 ,然后 将 列 进行 (3.4,2,1) 一 
(1,2,3,4) 的 置换 ,再 将 行进 行 (2,3,4,1) 一 (1,2,3,4) 的 置换 。 操 作 如 下 : 


ATEKCI reKA TIIATTA 
MOOoOT| lIromwo|l lcxkxar 
OWwWRERI IkROw| Iromo 
TATA LaTTA IRROw 


于 是 得 到 明文 attackatwomorrow。 

与 简单 蔡 换 密码 相 比 ,双重 置换 密码 并 不 改变 消息 中 的 字符 ,只 是 对 字符 进行 重新 组 
合 , 这 样 可 以 抵抗 基于 明文 中 包含 的 统计 信息 的 攻击 。 虽 然 双 重 置换 密码 目前 已 很 少 使 用 ， 
但 其 明文 与 密 文 信息 之 间 的 转换 思想 在 现代 密码 学 中 被 广泛 采用 。 


2.2.3 “一 决 一 密 ”密码 


最 著名 的 序列 密码 是 “一 次 一 密 ” 密 码 ,也 称 为 “一 次 一 密 乱 码 本 加 密 机 制 ”。 其 中 ,一 次 
一 密 乱 码 本 是 一 个 大 的 不 重复 的 随机 密 钥 字 符 集 , 这 个 密 钥 字符 集 被 写 在 几 张 纸 上 ,并 粘 合 
成 一 个 本 子 ,该 本 子 称 为 乱码 本 。 每 个 密 钥 仅 对 一 个 消息 使 用 一 次 。 发 送 方 用 乱码 本 中 的 
密 钥 对 所 发 送 的 消息 加 密 , 然 后 销毁 乱码 本 中 用 过 的 一 页 或 用 过 的 磁带 部 分 。 接 收 方 有 一 
个 同样 的 乱码 本 ,并 依次 使 用 乱码 本 上 的 每 一 个 密 钥 去 解密 密 文 的 每 个 字符 。 接 收 方 在 解 
密 消息 后 销毁 乱码 本 中 用 过 的 一 页 或 用 过 的 磁带 部 分 。 新 的 消息 则 用 乱码 本 的 新 密 钥 进行 
加 密 和 解密 。“ 一 次 一 密 ” 密 码 是 一 种 理想 的 加 密 方案 ,理论 上 讲 ,实现 了 “一 次 一 密 ” 密 钥 管 
理 的 密码 是 不 可 破译 的 。 

为 了 描述 方便 ,假设 明文 全 部 使 用 ASCII 码 中 的 字符 。 首 先 需 要 将 明文 (本 例假 设 为 
attack) 转 换 成 为 7 位 的 ASCII 码 。attack 对 应 的 ASCII 码 如 下 。 

明文 ， a t t a C k 

ASCII 码 : 01100001 01110100 01110100 01100001 01100011 01101011 

使 用 "一 次 一 密 ? 密 码 体制 加 密 时 ,需要 与 明文 长 度 相 同 的 随机 二 进 制 字符 串 作 为 密 钥 。 
密 钥 与 明文 进行 一 对 一 的 逐 位 模 2 相 加 运行 得 到 密 文 。 假 设 发 送 者 使 用 的 加 密 密 钥 为 : 

11000101 10011101 01011000 00111011 11001011 00011010 

那么 加 密 过 程 如 下 。 

a t t a C k 

明文 : 01100001 01110100 01110100 01100001 01100011 01101011 

密 钥 : 11000101 10011101 01011000 00111011 11001011 00011010 

密 文 : 10100100 11101001 00101100 01011010 10101000 01110001 

$ 1 ? 下 《 q 

通过 以 上 转换 ,得 到 的 密 文 字符 为 $i,Z(q。 当 接收 者 收 到 该 密 文 后 ,使 用 相同 的 密 钥 
进行 解密 操作 。 因 为 根据 模 2 相 加 运行 的 法 则 ,将 二 进 制 的 x 和 y 的 模 2 相 加 可 以 记 作 
x 中 y, 其 中 x@ByBy 二 x, 所 以 解密 过 程 是 将 密 文 与 同样 的 密 钥 进行 模 2 相 加 运算 。 具 体操 
作 如 下 。 


$ i 家 Z ‘ q 
密 文 : 10100100 11101001 00101100 01011010 10101000 01110001 
密 钥 : 11000101 10011101 01011000 00111011 11001011 00011010 
明文 : 01100001 01110100 01110100 01100001 01100011 01101011 
a 汪 t a c k 
通过 以 上 操作 ,原始 的 明文 就 恢复 了 出 来 。 
通过 以 上 的 加 密 和 解密 过 程 可 以 发 现 .如 果 密 钥 是 随机 产生 的 ,“ 一 次 一 密 ” 密 码 是 非常 
安全 的 。 当 然 , 该 安全 性 是 建立 在 密码 被 正确 使 用 的 前 提 下 : 一 是 密 钥 是 随机 产生 的 ; 二 
是 密 钥 只 使 用 一 次 ; 三 是 只 有 发 送 者 和 接收 者 知道 该 密 钥 。 


2.3 ”对 称 加 密 流 密码 


流 密码 ( 即 序列 密码 ) 是 一 种 类 似 于 “一 次 一 密 ” 密 码 体制 ,因为 在 加 密 过 程 中 是 将 密 钥 
流 ( 密 钥 的 二 进 制 位 ) 与 等 长 的 明文 的 二 进 制 位 进行 模 2 运算 ,在 解密 过 程 中 是 将 密 钥 流 与 
密 文 进行 逐 位 模 2 运算 ,所 以 流 密码 是 一 种 对 称 加 密 方式 。 


2.3.1 流 密码 的 工作 原理 


在 现代 计算 机 网 络 中 ,由 于 报 文 .数据 和 图 像 等 消息 都 可 以 通过 某 一 编码 技术 转化 为 二 
进 制 数字 序列 ,因而 可 假定 流 密 码 中 的 明文 空间 M 是 由 所 有 可 能 的 二 进 制 数字 序列 组 成 的 
集合 。 设 K 为 密 钥 空间 ,由 于 流 密码 应 使 用 尽 可 能 长 的 密 钥 ,而 太 长 的 密 钥 在 存储 、 分 配 等 
方面 都 有 一 定 的 困难 ,于 是 研究 人 员 采 用 一 个 短 的 密 钥 AE K 来 控制 某 种 算法 A 产生 出 长 
的 密 钥 序列 , 供 加 密 和 解密 使 用 。 而 短 密 钥 & 的 存储 和 分 配 在 实现 方式 上 都 比较 容易 。 根 
据 密 码 学 的 约定 ,算法 A 是 公开 的 ,而 密 钥 人 是 保密 的 。 

流 密码 系统 的 工作 过 程 如 图 2-4 所 示 。 即 对 于 每 一 个 短 密 钥 AE 天 ,由 算法 A 确定 一 
个 二 进 制 序列 A() 王 局 ,AR , 当 明 文 为 mmEM,m 一 7 7 ,7 时 ,使 用 密 钥 & 的 加 
密 过 程 为 : 对 于 i==1,2,…,n, 计 算 c= 二 m; 儿 k;, 密 文 为 c=E(m,k)= 二 ci ,cs，… cy 其 中 个 表 
示 模 2 运算 。 对 密 文 c 的 解密 过 程 为 : 对 于 i 二 1,2,…,n, 计 算 m; 二 ci; 甸 k;, 由 此 恢复 明文 
m。 通 常 称 密 钥 k 为 种 子 密 钥 或 子 密 钥 ,由 & 通过 算法 A 产生 的 序列 A(k) 二 ,ko，*…* ,kk 
称 为 密 钥 序列 。 


密 角 源 密 钥 信道 
短 密 钥 k 短 密 钥 k 
1 1 
使 用 算法 4 的 密 使 用 算法 4 的 密 
钥 序列 产生 器 钥 序 列 产生 器 
有 有 


"1 信道 
pe T ep 


明文 序列 m1, m2,… ,mm 密 文 序列 cu cz， cn 明文 序列 a, m2,… ,1m 
图 2-4 流 密码 系统 的 工作 过 程 
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击 N 恰 
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由 此 可 以 看 出 , 流 密码 的 安全 性 主要 依赖 于 密 钥 序列 A(k) 二 ,ks，…,k, 当 R， 
&2，…,k, 是 离散 的 ,不 便于 记忆 的 二 进 制 密 钥 源 产生 的 随机 序列 时 ,该 系统 就 是 “一 次 一 
密 ” 密 码 。 但 通常 A(k) 是 一 个 由 上 通过 确定 算法 A 产生 的 伪 随机 序列 ,因而 此 时 该 系统 就 
不 再 是 完全 安全 的 。 

到 目前 为 止 , 流 密 钥 序 列 的 产生 大 多 数 是 基于 硬件 的 移 位 寄存 器 来 实现 的 ,因为 移 位 寄 
存 器 结构 简单 ,运行 速度 快 。 


2.3.2 AS/1 


A5/1 是 一 个 可 以 在 硬件 上 高 效 实现 的 流 密码 算法 ,是 在 欧洲 数字 蜂窝 移动 电话 系统 
(Global System for Mobill Communications,GSM) 中 采用 的 流 密码 加 密 标 准 。 
1. A5/1 的 数学 描述 
A5/1 使 用 标号 为 X.Y 和 Z 的 三 个 线性 移 位 寄存 器 。 其 中 ,寄存 器 X 占有 19 位 的 存 
储 空间 ,编号 为 (zo ,x1，,… ,zis); 寄存 器 Y 占有 22 位 的 存储 空间 ,编号 为 (yo ,yi ，…，,ya); 
寄存 器 Z 占有 23 位 的 存储 空间 ,编号 为 (zo ,zi1，… ,zzs)。 这 三 个 寄存 器 共 占 有 64 位 的 存储 
空间 。 
根据 流 密码 的 要 求 , 密 钥 同 样 也 需要 占有 64 位 的 空间 ,用 于 初始 化 X 了 和 2Z 这 三 个 寄 
存 器 。 当 用 密 钥 填 充 完 三 个 寄存 器 ( 即 初始 化 操作 ) 后 ,就 做 好 了 产生 密 钥 流 的 准备 。 
在 描述 密 钥 流 的 产生 之 前 , 先 介 绍 X. 了 和 2Z 这 三 个 寄存 器 的 操作 方式 。 
X 寄存 器 的 操作 过 程 为 ， 
t= Tis 人 X16 [gS TXT17 人 X18 
Zi 一 Ti 一 18,17,16,…，1 
To 一 上 
工 寄 存 器 的 操作 过 程 为 : 
t= yo 四 ya 
太一 yi， 一 21,20,19,… ,1 
yo 一 上 
Z 寄存 器 的 操作 过 程 为 : 
= xz BD zw BD za Bz» 
Zi = za, i= 22,2]1,20,.…,1] 
zo=t 
在 计算 密 钥 流 时 ,给 定 三 个 位 .y 和 ,定义 一 个 函数 maj(zvyvs) ,该 函数 确定 了 这 样 
一 个 法 则 : 如 果 x、y\s 中 的 多 数 为 0, 则 函数 返回 值 为 0, 香 则 返回 值 为 1。 这 样 ,A5/1 每 步 
操作 将 产生 1 位 的 密 钥 流 。 这 种 计算 速度 虽然 看 上 去 很 慢 ,但 因为 A5/1 是 专门 根据 硬件 
实现 来 设计 的 ,所 以 产生 密 钥 流 的 速度 还 是 很 快 的 。 
2. A5/1 的 硬件 实现 
A5/1 是 用 硬件 来 实现 的 。 硬 件 实现 必须 考虑 其 时 钟 周 期 , A5/1 的 时 钟 周期 的 计 
算 为 ; 
m = maj(Zs ,yioyzlo) 


这 样 ,X\Y 和 Z 这 三 个 寄存 器 将 根据 以 下 的 规则 进行 操作 : 如 果 xs 二 m, 则 进行 X 操 


作 ; 如 果 yw 二 m, 则 进行 了 操作; 如 果 zo 二 m, 则 进行 Z 操作 。 最 后 密码 流 位 按照 以 下 方 
式 产生 : 
s= Ta Dyn PD za 
加 密 时 , 密 钥 流 ; 与 明文 进行 模 2 运算 。 解 密 时 ,使 用 密 钥 流 * 与 密 文 进行 模 2 运算 。 
图 2-5 所 示 的 是 A5/1 密 钥 流 生成 器 的 结构 示意 图 。 其 中 , 密 钥 流 中 位 的 产生 速度 与 该 
硬件 系统 的 时 钟 频率 相当 。 


x [ollz[3[4[sl6 14[5 


图 2-5 A5/1 密 钥 流 生成 器 的 工作 过 程 


需要 说 明 的 是 ,基于 移 位 寄存 器 及 硬件 实现 的 A5/1 算法 是 早期 流 密码 的 应 用 代表 , 它 
曾经 是 对 称 密码 的 主流 。 但 是 随 着 近年 来 分 组 密码 的 广泛 应 用 ,A5/1 在 许多 应 用 中 已 经 
被 分 组 密码 所 替代 。 另 外 ,基于 软件 实现 的 流 密码 RC4 目前 的 应 用 较为 广泛 。 有 关 RC4 
的 内 容 有 兴趣 的 读者 可 以 参阅 相关 的 技术 文献 。 


2.4 对 称 加 密 一 一 分 组 密码 


流 密码 和 分 组 密码 都 属于 对 称 密 钥 算 法 , 流 密码 的 基本 思想 是 利用 密 钥 产 生 一 个 密 钥 
流 ,并 通过 相应 的 规则 对 明文 串 进行 加 密 和 解密 处 理 。 而 分 组 密码 是 将 明文 分 为 固定 长 度 
的 分 组 ,然后 通过 若干 轮 (round) 函 数 的 迭代 操作 来 产生 密 文 。 函 数 由 于 在 每 一 轮 的 操作 中 
都 使 用 ,所 以 称 为 轮 函数 ,其 本 轮 的 输入 是 上 一 轮 的 输出 加 上 密 钥 。 


2.4.1 Feistel 密码 结构 


Feistel 密码 结构 是 以 密码 学 的 先驱 美国 Horst Feistel 的 名 字 来 命名 的 ,这 是 密码 设计 
的 一 个 结构 ,而 非 一 个 具体 的 密码 产品 (类 似 于 TCP/IP 参考 模型 )。 现 在 正在 使 用 的 几乎 
所 有 重要 的 对 称 分 组 密码 都 使 用 Feistel 结构 。 

如 图 2-6 所 示 ,在 Feistel 密码 结构 中 ,大 小 为 2w 位 的 明文 P 被 平均 分 成 左右 两 部 分 
(各 lz 位 ,分 别 用 Lo。 和 R。 表示 ) : 

B= Ry 

第 1 轮 (round) 加 密 时 分 别 输 入 明文 L。 和 R。 及 子 密 钥 &。 输 出 也 分 为 左右 两 部 分 ， 
其 中 左 半 部 分 L, 直接 用 原来 的 右 半 部 分 Ro 来 替换 ,而 右 半 部 分 Ri 的 获得 要 经 过 两 步 操 
作 : 第 一 步 是 以 子 密 钥 为 参数 对 右边 半 部 分 R。 用 轮 函 数 下 进行 计算 ; 第 二 步 是 利用 第 
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一 步 的 函数 输出 值 ( 密 钥 ) 与 左 半 部 分 L。 进行 模 2 运算 ,以 上 两 步 操作 得 到 的 值 即 Li 。 
采用 相同 的 方法 ,每 一 轮 :以 前 一 轮 得 到 的 工 _, 和 尺 _ ;为 输入 ,另外 的 输入 还 有 从 总 的 
密 钥 & 生成 的 子 密 钥 Ai 。 对 数据 的 左 半 部 分 进行 蔡 换 操作 ,替换 的 方法 是 对 数据 右 半 部 分 
应 用 轮 函数 下 ,然后 用 这 个 函数 的 输出 和 数据 的 左 半 部 分 进行 模 2 运算 。 之 后 ,算法 做 一 个 
置换 操作 ,把 数据 的 左右 两 个 部 分 进行 互 换 。 以 上 加 密 操作 的 数学 描述 如 下 : 
Li= Ri 
R; = Li D F(R ,ki) 
在 以 上 操作 中 ,其 中 每 一 轮 操 作 中 的 子 密 钥 k; 是 由 密 钥 & 通过 密 钥 扩展 算法 产生 的 ， 
子 密 钥 在 每 一 轮 操作 中 的 结构 一 样 ,但 内 容 不 同 。 另 外 , 轮 函 数 在 每 一 轮 操作 中 有 着 相同 的 
结构 ,但 是 以 各 轮 的 子 密 钥 k; 为 参数 进行 区 分 。 最 后 , 密 文 C 是 最 后 一 轮 的 输出 : 
C= (nb n) 


明文 (2w 人 i) | 
vw 位 w 位 
Lo Ro 
kl 
Round(1) 
Li RI 
Li Ri 
一 | 一 态 
Round(i) 
也 R; 
Round(n) 


密 文 Cw 们 ) | 


图 2-6 Feistel 网 络 结构 


Feistel 密 钥 的 具体 实现 依赖 于 以 下 的 参数 和 设计 特点 。 

(1) 分 组 大 小 。 在 其 他 条 件 相同 的 情况 下 ,分 组 越 大 意味 着 安全 性 越 高 ,但 加 密 和 解密 
的 速度 也 就 越 慢 。64 位 的 分 组 大 小 是 一 个 较为 合理 的 选择 。 目 前 在 分 组 密码 设计 中 几乎 
都 使 用 64 位 的 分 组 大 小 。 

(2) 密 钥 大 小 。 密 钥 长 度 越 长 则 安全 性 越 高 ,但 加 密 和 解密 的 速度 也 就 越 慢 。64 位 或 
者 更 小 的 密 钥 长 度 目前 已 被 认为 不 安全 ,所 以 多 使 用 128 位 的 密 钥 长 度 。 


(3) 循环 次 数 。Fetstel 密码 的 特点 是 一 个 循环 不 能 保证 足够 的 安全 性 ,而 循环 越 多 则 
安全 性 越 高 。 目 前 通常 使 用 16 次 循环 。 
(4) 轮 (round) 函 数 。 复 杂 性 越 高 , 则 抗击 密码 分 析 的 能 力 就 越 强 。 从 实现 过 程 来 看 ， 
Feistel 结构 的 所 有 安全 问题 几乎 都 集中 在 轮 函数 的 设计 上 。 
Feistel 加 密 和 解密 的 详细 过 程 如 图 2-7(a) 和 图 2-7(b) 所 示 。 对 比 Feistel 的 加 密 和 人 解 
密 过 程 可 以 发 现 , 无 论 使 用 何 种 特殊 的 轮 函 数 下 ,都 能 够 很 容易 地 进行 解密 操作 。 对 加 密 的 
数学 描述 求解 R;_; 和 工 ;_1 ,就 可 以 将 整个 加 密 过 程 还 原 ,得 到 加 密 之 前 的 明文 。 解 密 规 则 
的 数学 描述 如 下 : 
Rai=L; 
Li = Ri D F(R RD) 
最 终 的 结果 就 是 原始 的 明文 P= (Lo .Ro)。 


| 输出 (明文 ) 


输入 (明文 ) 


REI6 I ZEI6 输入 ( 密 文 ) 
输出 ( 密 文 ) 
(a) Feistel 加 密 过 程 (b) Feistel 解 密 过 程 


2-7 Feistel 的 加 密 和 解密 过 程 


2.4.2 数据 加 密 标 准 


数据 加 密 标准 (Data Encryption Standard,DES) 是 由 IBM 公司 在 1971 年 设计 的 一 个 
加 密 算法 。1977 年 由 美国 国家 标准 局 ( 现 美国 国家 标准 技术 委员 会 ) 作 为 第 46 号 联邦 信息 
处 理 标 准 而 采用 的 一 种 数据 加 密 标准 。 之 后 ,DES 成 为 金融 界 及 其 他 非 军事 行业 应 用 最 为 广 
泛 的 对 称 加 密 标准 。DES 是 分 组 密码 的 典型 代表 ,也 是 第 一 个 被 公布 出 来 的 标准 算法 。DES 
的 算法 完全 公开 ,在 密码 学 史上 开创 了 先河 。DES 是 迄今 为 止 世界 上 应 用 最 为 广泛 的 一 种 分 
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组 密码 算法 。 虽 然 美国 政府 已 经 用 新 的 数据 加 密 标 准 AES 取代 了 DES, 但 DES 在 现代 分 组 
密码 理论 的 发 展 和 应 用 中 起 到 了 决定 性 作用 ,DES 的 理论 和 设计 思想 仍 有 重要 的 参考 价值 。 

1. DES 的 算法 描述 

DES 是 一 个 完全 遵循 Feistel 密码 结构 的 分 组 密码 算法 。DES 将 明文 以 64 位 为 单位 
分 组 进行 加 密 ,在 一 次 加 密 过 程 中 以 64 位 为 一 组 的 明文 从 算法 的 一 端 输入 ,同时 在 另 一 端 
输出 64 位 的 密 文 。DES 中 密 钥 的 长 度 通常 应 为 64 位 ,但 其 中 后 面 的 8 位 作为 奇偶 校 验 使 
用 ,所 以 实际 使 用 的 只 有 56 位 。 

如 图 2-8 所 示 ,DES 的 基本 加 密 过 程 总 共有 19 个 步 又。 其 中 ,第 1 步 是 一 个 与 密 钥 无 
关 的 置换 操作 , 它 直接 将 64 位 的 明文 分 为 左右 两 部 分 ,每 一 部 分 为 32 位 。 最 后 一 步 ( 即 第 
19 步 ) 正 好 是 对 第 1 步 中 置换 的 逆 操 作 。 而 第 18 步 是 交换 左 32 位 和 右 32 位 。 其 他 16 步 
的 功能 完全 相同 ,但 使 用 了 原始 密 钥 的 不 同 子 密 钥 k; 作为 轮 函 数 正 的 参数 。 


输入 (明文 ) 
1,2,3,……,64 | 
初始 转换 
I 
1 1 
Lo Ro 
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中 ©- 
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f 
Ls=R! R=L1®F(Ri,h) 
T 
0 4- 
网 本 ss 
! 1 
,a 1 
Lis=Ri4 Ris=Lis ©F(Ri4hs) 
kie 
中 - O- 
1 
Rie=LIs@F(Ris,kie) Lie=Ris 
1 
逆 初 始 转换 
1 
输出 ( 密 文 ) 


图 2-8 ”DES 算法 示意 图 


DES 算法 的 设计 允许 使 用 同样 的 密 钥 来 完成 解密 过 程 ,而 且 解密 是 加 密 的 逆 过 程 。 这 
正 是 任何 一 个 对 称 密 钥 算法 必须 满足 的 一 个 条 件 。 
下 面 是 对 DES 的 总 结 。 
。 是 使 用 16 轮 操 作 的 Feistel 结构 密码 。 
。 分 组 长 度 为 64 位 。 
。 使 用 56 位 的 密 钥 。 
。 每 一 轮 使 用 48 位 的 子 密 钥 ,每 一 个 子 密 钥 都 是 由 56 位 的 密 钥 的 子 集 构成 。 
2. DES 中 每 一 轮 操 作 的 过 程 
图 2-9 是 对 图 2-6 中 16 轮 Feistel 结构 密码 操作 中 一 轮 的 示意 图 。 下 面 结合 图 2-9, 对 
图 2-8 中 每 一 轮 操 作 进行 介绍 。 因 为 DES 算法 中 每 一 组 明文 的 长 度 为 64 位 ,所 以 根据 
Feistel 结构 密码 的 规则 ,将 其 分 为 左右 两 部 分 ,每 一 部 分 为 32 位 。 与 所 有 Feistel 结构 密码 
一 样 ,每 一 轮 的 处 理 都 遵循 以 下 的 数学 描述 : 
L; = Ri 
R; = Li BD F(R 1 ,ki) 


密 钥 


图 2-9 DES 中 每 一 轮 操 作 的 示意 图 


其 中 轮 函 数 下 进行 了 扩展 置换 、 子 密 钥 相 加 、S 盒 和 PP 置换 的 组 合 操作 。 其 中 ,“ 扩 展 
置换 ?将 32 位 的 输入 扩展 为 48 位 ,其 结果 再 与 48 位 子 密 钥 按 位 进行 模 2 运算 。 然 后 “S 
盒 " 将 这 48 位 压缩 为 32 位 ,随后 对 “S 盒 ” 的 输出 进行 *P 置 换 *.“ 忆 置换 ?的 输出 再 与 原来 
的 左 半 部 分 (Li-;) 按 位 进行 模 2 运算 ,最 终 得 到 新 的 右 半 部 分 (R;)。 

图 2-9 的 右 半 部 分 给 出 了 56 位 密 钥 的 使 用 方式 。 算 法 开始 之 前 , 先 在 56 位 的 密码 上 
执行 一 个 56 位 的 置换 操作 (通过 置换 函数 )。 在 每 一 轮 操 作 之 前 , 密 钥 被 分 为 两 部 分 ,每 一 
部 分 为 28 位 ,然后 分 别 进行 按 位 的 “ 移 位 ”操作 (具体 为 左 移 ) ,移动 的 位 数 取决 于 当前 的 轮 
操作 号 (具体 在 0 一 16 之 间 )。 移 位 操作 后 ,再 执行 男 一 个 56 位 的 “压缩 "处理 , 即 生成 48 位 
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的 子 密 钥 已。 在 每 一 次 循环 中 ,置换 函数 是 相同 的 ,但 由 于 密 钥 的 位 进行 了 移 位 ,所 以 每 一 
次 产生 的 子 密 钥 并 不 相同 。 

3. DES 中 的 S 念 

“S 盒 " 是 DES 算法 中 的 核心 。 正 是 由 于 S 盒 的 重要 性 ,所 以 相关 技术 细节 一 直 未 被 公 
开 。 这 也 是 有 人 怀疑 DES 算法 留 有 安全 后 门 的 一 个 原因 ,不 过 S 盒 确实 增加 了 DES 算法 
抵抗 密码 攻击 的 能 力 。 

S 盒 在 轮 函 数 下 中 的 作用 如 图 2-10 所 示 。 一 次 替换 由 一 组 共 8 个 S 盒 组 成 。 其 中 每 
一 个 S 盒 都 接收 6 位 的 输入 ,产生 4 位 的 输出 。 这 样 ,48 位 的 输入 最 后 得 到 32 位 的 输出 。 


Ri(32 位 ) 


置换 后 的 输出 (48 位 ) 子 密 钥 (48 位 ) 


P 置 换 
(32 位 ) 


图 2-10 S 盒 的 蔡 换 操作 


这 8 个 S 盒 是 不 同 的 。 每 一 个 S 盒 是 一 个 4 行 .16 列 的 矩阵 ,其 中 盒 中 6 位 的 输入 确 
定 了 其 对 应 的 输出 值 。 盒 子 S; 的 输入 位 以 一 种 非常 特殊 的 方式 来 确定 盒 中 的 项 。 假 设 将 
盒 中 的 6 位 输入 分 别 标记 为 六 加 加入 和 ps ,其 中 由 如 和 bs 组 合成 一 个 2 位 的 数 (其 十 进 制 数 
为 0~3) ,用 以 确定 矩阵 中 的 行 。 由 5,6b45s 组 合 一 个 4 位 的 数 (其 十 进 制 数 为 0 一 15) ,用 
以 确定 矩阵 中 的 列 。 由 以 上 行 和 列 所 确定 的 矩阵 中 的 单元 号 码 , 将 其 十 进 制 数 转换 为 一 个 
4 位 的 二 进 制 数 后 就 产生 了 输出 值 。 具 体 对 应 关系 如 图 2-11 所 示 。 例 如 ,其 中 一 个 盒子 5 
的 输入 值 为 011011 ,因为 行 的 组 合 为 01( 十 进 制 数 为 1) ,所 以 对 应 矩阵 中 的 第 1 行 。 因 为 
列 的 组 合 为 1101( 十 进 制 数 为 13) , 即 对 应 矩阵 中 的 第 13 列 。 根 据 图 2-11 所 示 ,矩阵 中 第 1 
行 第 13 列 对 应 的 是 数字 5。 所 以 ,S, 盒 的 输出 值 则 为 1001 。 


久久 和 
bbs 
0|1|2|13|4|15|6|7|8|9|10|11|12|13|14|15 
0 |14|4|13|1|2|15|11|8|3|10|6|12|5|19|0|7 
1 0|15|7|4|14|2|13|1|10|6|12|11|9|5|3|8 
2 4|1|14|8|13|6|2|11|15|12|9|7|3|10|5|0 
3 |15I12|8|12|14|9|1|7|5|11|3|14|10|0|6|13 


图 2-11 S 盒 的 置换 结构 


有 关 也 置换、S 盒 等 内 容 的 详细 介绍 读者 可 参阅 相关 的 文献 说 明 。 


4. DES 算法 的 特点 

DES 算法 综合 应 用 了 置换 、 替 换 和 移 位 等 多 种 密码 技术 。 在 算法 结构 上 采用 了 Feistel 
密码 结构 ,结构 紧凑 ,便于 实现 。 在 一 次 加 密 过 程 中 ,DES 使 用 了 初始 置换 和 逆 初 始 置换 各 
1 次 ,置换 操作 16 次 ,这 样 做 的 目的 是 将 数据 彻底 打 乱 重 排 。S 盒 是 DES 保密 性 的 关键 , 它 
将 6 位 的 输入 映射 为 4 位 的 输出 ,是 一 个 非 线性 变换 (其 本 质 是 数据 压缩 ), 具 有 较 高 的 保 

DES 算法 也 存在 一 些 问 题 : 一 是 56 位 的 密 钥 长 度 太 短 ,影响 了 DES 的 保密 性 ; 二 是 
在 16 次 迭代 加 密 过 程 中 ,使 用 的 16 个 子 密 钥 可 能 存在 弱 密 钥 或 半 弱 密 钥 现象 。 由 于 DES 
中 子 密 钥 产生 过 程 的 设计 不 当 , 在 理论 上 有 可 能 产生 16 个 完全 相同 子 密 钥 的 弱 密 钥 现 象 ， 
也 有 可 能 产生 16 个 子 密 钥 中 部 分 子 密 钥 相 同 的 半 弱 密 钥 现象 。 但 是 ,由 于 弱 密 钥 和 半 弱 密 
钥 的 数量 与 子 密 钥 的 总 数 相 比 仍然 是 微不足道 ,因此 在 实际 应 用 中 并 不 会 对 DES 的 保密 性 
造成 较 大 的 威胁 。 


2.4.3 三 重 数据 加 密 标 准 


1979 年 ,在 DES 的 使 用 过 程 中 IBM 已 经 意识 到 DES 的 密 钥 长 度 太 短 , 于 是 设计 了 一 
种 能 够 有 效 增加 加 密 长 度 的 算法 , 即 三 重 DES(Triple DES, 三 重 数据 加 密 标准 ) 的 加 密 标 
准 ,三 重 DES 常 写作 3DES。 

3DES 使 用 两 个 密 钥 ,并 执行 三 次 DES 算法 。 使 用 两 个 密 钥 的 原因 是 考虑 到 密 钥 长 度 
对 系统 的 开销 ,两 个 DES 密 钥 加 起 来 的 长 度 为 112 位 ,这 对 于 商业 应 用 已 经 足够 了 。 如 果 
使 用 三 个 密 钥 其 长 度 将 会 达到 168 位 ,对 系统 的 要 求 将 会 提高 。3DES 加 密 和 解密 过 程 分 
别 如 图 2-12(a) 和 图 2-12(b) 所 示 ,加 密 时 为 “加 密 一 解密 一 加 密 ”( 即 EDE) , 即 第 一 步 按照 
常规 的 方式 使 用 密 钥 K; 对 明文 执行 DES 加 密 , 第 二 步 利用 密 钥 Ks 对 第 一 步 中 的 加 密 结 
果 进 行 解密 ,第 三 步 使 用 密 钥 K, 对 第 二 步 的 结果 进行 DES 加 密 。 令 PP 为 明文 分 组 ,K 为 
密 钥 ,C 为 相应 的 密 文 分 组 ,三 重 DES 的 数学 描述 为 : 

C= E(D(E(P,Ki),K:),Ki) 
而 不 是 : 
C= E(E(E(P,RI) RK) Ks) 
三 重 DES 的 解密 过 程 为 “解密 一 加 密 一 解密 ”( 即 DED) ,数学 描述 为 : 
P= DE(D(C LI) Ry 
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图 2-12 3DES 的 加 密 和 解密 过 程 


通过 以 上 介绍 ,读者 对 3DES 的 加 密 过 程 可 能 会 产生 这 样 的 疑问 : 为 什么 使 用 “加 密 一 
解密 一 加 密 ”, 而 不 使 用 * 加 密 一 加 密 一 加 密 ”( 即 EEE) 呢 ?这 是 因为 采用 EDE 的 目的 是 为 
了 与 已 经 被 广泛 使 用 的 DES( 也 称 为 “ 单 密 钥 DES”) 系统 保持 兼容 性 。 由 于 DES 的 加 密 和 
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解密 都 是 64 位 整数 集 之 间 的 映射 关系 ,使 用 EDE 方式 的 3DES 系统 就 可 以 与 使 用 单 密 钥 
DES 的 系统 进行 通信 ,在 实现 过 程 中 只 需要 设置 Ki 一 K, 即 可 。 单 密 钥 DES 的 数学 描述 为 : 
C= E(P,K) 
在 3DES 中 ,如 果 令 Ki 二 K, 二 K .那么 结果 就 与 单 密 钥 DES 相同 ,数学 描述 为 : 
C= ED(E(PIR),.K NK) =.E(P,K) 


2.4.4 高 级 加 密 标 准 


由 于 DES 存在 的 缺陷 出 现 了 3DES, 但 3DES 在 应 用 中 也 难以 避免 类 似 于 DES 的 厄 
运 。 为 此 ,美国 标准 和 技术 委员 会 于 1997 年 开始 向 世界 各 地 的 研究 人 员 发 起 邀请 ,征集 一 
个 新 的 加 密 标准 方案 ,这 个 方案 就 是 高 级 加 密 标准 (Advanced Encryption Standard, AES)。 
该 加 密 标准 要 求 具 有 以 下 功能 特点 。 

(1) 必须 是 一 个 对 称 加 密 算 法 。 

(2) 必须 公开 所 有 的 算法 设计 。 

(3) 必须 支持 128 位 、192 位 和 256 位 密 钥 长 度 。 

(4) 可 同时 支持 软件 和 硬件 两 种 实现 方式 。 

1. AES 的 特点 

1998 年 8 月 ,NIST 根据 对 算法 的 安全 性 效率、 简单 性 .灵活 性 和 内 存 需求 等 方面 的 综 
合 考虑 ,从 收 到 的 15 个 提案 中 确定 了 其 中 5 个 方案 。 通 过 对 这 5 个 方案 的 无 记名 投票 表 
决 ,于 2001 年 10 月 确定 了 Rijndael 作为 美国 政府 标准 ,并 作为 联邦 信息 处 理 标准 FIPS197 
被 正式 发 表 。Rijndael 的 发 音 为 Rhine Dale[rain deil]。 

在 Rijndael 中 , 密 钥 长 度 和 数据 块 长 度 可 以 单独 选择 ,之 间 没 有 必然 的 联系 。 密 钥 和 数 
据 块 的 长 度 以 32 位 为 间隔 递增 ,在 128 位 一 256 位 之 间 。 在 具体 实施 中 , AES 一 般 有 两 种 
方案 : 一 种 是 数据 块 和 密 钥 都 为 128 位 ; 另 一 种 是 数据 块 为 128 位 ,而 密 钥 为 256 位 。 而 原 
定 的 192 位 的 密 钥 几乎 不 使 用 。 在 下 面 的 内 容 中 ,主要 以 数据 块 和 密 钥 都 为 128 位 来 介绍 。 

与 DES 一 样 ,AES 也 是 一 种 迭代 分 组 密码 ,同样 使 用 了 多 轮 置换 和 替换 操作 ,并 且 操 
作 是 可 逆 的 。 但 与 DES 不 同 的 是 , AES 算法 不 是 Feistel 密码 结构 ,AES 的 操作 轮 数 在 
10~14 之 间 。 其 中 当 数据 块 和 密 钥 都 为 128 位 时 , 轮 数 为 10。 随 着 数据 块 和 密 钥 长 度 的 增 
加 ,操作 轮 数 也 会 随 之 增加 ,最 大 值 为 14。 不 过 ,在 每 一 次 操作 中 ,DES 是 直接 以 位 为 单位 ， 
而 在 AES 中 则 以 8 位 的 字 节 为 单位 。 这 样 做 的 目的 是 便于 通过 硬件 和 软件 实现 。AES 的 
每 一 轮 操 作 包括 如 下 4 个 函数 。 
ByteSub( 字 节 替 换 ) 。 用 一 张 称 为 “S 盒子 ”的 固定 表 来 执行 字 节 到 字 节 的 替换 。 
ShiftRow( 行 移 位 置换 ) 。 行 与 行 之 间 执 行 简单 的 置换 。 
MixColumn( 列 混淆 替换 ) 。 列 中 的 每 一 个 字 节 替换 成 该 列 所 有 字 节 的 一 个 函数 。 
AddRoundKey( 轮 密 钥 加 ) 。 用 当前 的 数据 块 与 扩充 密 钥 的 一 部 分 进行 简单 的 XOR 
运算 。 

以 上 4 个 函数 中 ,具体 为 1 次 置换 3 次 替换 。 

2. Rijndael 的 工作 原理 及 过 程 

图 2-13 所 示 的 是 Rijndael 的 state 与 rk 数组 的 工作 示意 图 。 其 中 ,128 位 (16B) 的 明文 
以 字 节 的 形式 存储 在 4X4 的 矩阵 中 ,具体 存放 在 state 数组 中 。 如 下 所 示 : 


在 算法 开始 时 ,state 数组 被 初始 化 为 128 位 的 明文 数据 块 , 其 中 前 4 个 字 节 被 存放 在 
state 数组 的 第 0 列 , 接 下 来 的 4 个 字 节 被 放 在 第 1 列 , 依 此 类 推 。 然 后 在 轮 操作 过 程 中 的 
每 一 步 ,state 数组 都 要 被 修改 ,其 中 包括 数组 内 部 字 节 对 字 节 的 置换 ,以 及 数组 内 部 字 节 的 
替换 。 在 算法 的 最 后 ,state 中 的 内 容 就 是 加 密 后 输出 的 密 文 。 


128 位 明文 128 位 加 密 密 钥 


一 


state rk[o] rrk[ rk[2] rrkB] rk rk rk[6] ek] rrks] rrk[9] rk[10] 


图 2-13 Rijndael 的 state 与 rk 数组 的 工作 示意 图 


在 进行 state 数组 初始 化 的 同时 ,128 位 的 密 钥 也 被 扩展 到 11 个 与 state 同样 结构 的 状 
态 数 组 rk[ 疏 中 ,i 二 0,1,2,…,10。rk 中 存放 的 是 由 128 位 加 密 密 钥 扩展 出 的 轮 密码 (也 称 
为 子 密码 ) 。 其 中 ,有 一 个 rk 被 用 在 计算 过 程 的 开始 处 ,其 他 10 个 rk 被 分 别 用 在 10 轮 计 
算 中 ,每 一 轮 使 用 一 个 数组 。 从 128 位 的 加 密 密 钥 扩展 得 到 轮 密码 的 过 程 基 本 上 是 通过 反 
复 地 对 密 钥 中 的 不 同位 进行 循环 移 位 和 XOR 运行 生成 的 ,具体 实现 非常 复杂 ,在 这 里 不 再 
讨论 。 有 兴趣 的 读者 可 以 参考 相关 的 文献 资料 。 

在 以 下 的 介绍 中 ,state 数组 中 已 经 存放 了 128 位 的 明文 。 同 时 ,假设 由 128 位 加 密 密 
钥 扩展 得 到 的 轮 密 码 已 分 别 存放 在 数组 rk[ 站 中。 

在 开始 轮 操作 之 前 ,还 需要 进行 一 次 state 数组 与 rk[0] 数 组 之 间 的 逐 字 节 的 XOR 运 
算 ,结果 存放 在 state 数组 中 。 即 在 进行 轮 操作 之 前 ,state 数组 中 每 一 个 字 节 都 被 它 与 
rk[0] 中 对 应 的 字 节 进行 XOR 运算 后 的 结果 取代 。 

接 下 来 便 进行 主 循环 。 这 一 循环 将 被 执行 10 次 , 即 进行 10 次 迭代 。 在 每 一 次 近代 中 
都 分 别 用 rk[ 门 与 state 之 间 的 操作 结果 来 替换 state 中 的 数据 。 每 一 轮 的 操作 都 需要 经 过 
以 下 4 个 步 又。 

(1) 使 用 ByteSub 操作 ,在 state 数组 中 进行 逐 字 节 的 替换 。 令 state 中 每 个 字 节 用 a; 
表示 ,替换 后 的 每 一 个 字 节 用 b; 表示 , 则 有 6; 二 ByteSub(ai ) ,数学 描述 如 下 


Qoo Qol do do3 poo bor po bos 
Qio QI dl12 di1s bo bu br bs 
— ByteSub 一 
U20 Ud2l ld22? ld23 20 ba bzs bzs 
ds30 Ud3l Q32 ld33 Dao ba bss bss 


在 进行 ByteSub 操作 时 ,实现 方法 与 DES 中 的 S 盒子 相似 ,可 以 直接 通过 查 表 ( 如 
图 2-14 所 示 ) 得 到 替换 值 。 为 便于 表述 ,在 图 2-14 中 通过 十 六 进 制 数 来 表示 。 例 如 ， 
ByteSub(2e) 二 98, 即 在 图 2-14 的 表格 中 ,第 2 列 第 e 行 对 应 的 数值 是 98。 在 AES 和 DES 
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中 虽然 都 使 用 了 S 盒子 ,但 AES 中 的 S 盒子 与 DES 中 的 不 同 ,在 DES 中 有 8 个 S 盒 子 ,而 
在 AES 中 只 有 一 个 。 
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图 2-14 ”ByteSub 的 对 照 表 


(2) 对 state 数组 中 的 每 一 个 字 节 a; 用 ShiftRow 操作 向 左 进行 移 位。 将 第 (1) 步 操作 
得 到 的 结果 的 行 向 左 移 位 置换 。 具 体 方法 为 : 第 0 行 不 变 ,第 1 行 左 移 1 个 字 节 ,第 2 行 左 
移 2 个 字 节 ,第 3 行 左 移 3 个 字 节 。 这 一 步 操作 是 通过 ShiftRow 将 整个 块 中 的 数据 混合 起 
来 ,数学 描述 如 下 : 


Qoo do do do3 Qoo do do Qos 
Qio QI da 13 站 dn al 4Q13 di 
一 ShiftRow 一 
Ud20 dd2l Q22 ld23 Ud22 dd23 Ud20 dz2l 
Us0 U3l U32 U33 Ud33 4d30 Q31 U32 


(3) 使 用 MixColumn 操作 将 state 数组 中 每 一 列 的 字 节 混合 起 来 , 列 与 列 之 间 互 不 影 
响 。 这 里 的 操作 类 似 于 DES 中 的 S 盒子 ,包括 移 位 和 XOR 运算 ,可 以 通过 查 表 ( 类 似 于 如 
图 2-14 所 示 的 表 ) 实 现 。 数 学 描述 如 下 : 


aoi bo: 
Qi bs; 
一 MixColumn 一 其 由 = 0,1s253 
aa bz; 
Qi ba: 


(4) 使 用 AddRoundKey 操作 ,与 本 轮 的 轮 密 钥 进行 XOR 运算 ,其 结果 保存 到 state 数 
组 中 。 与 DES 相似 , 密 钥 扩展 算法 产生 每 一 轮 的 轮 密 钥 ,并 保存 在 rk[i 让 中 。 为 了 表述 方 
便 , 在 这 里 用 必 来 代替 rk[ 详 ,但 心中 的 ; 和 7 分 别 表示 存放 轮 密 钥 的 矩阵 的 行 和 列 (i 一 
0,1,2,3) ,而 rk[ 引 中 的 i 则 表示 是 第 i 轮 使 用 的 轮 密 钥 (i 二 1,2…,10)。 将 轮 密 钥 ky 和 当 
前 4 义 4 字 节 和 矩阵 a; 进 行 XOR 操作 生成 5 的 过 程 描 述 如 下 : 


aoo do aoz aos ko ko ko ko boo bo bos bos 
alio ai al als ki Ra AR As po bu bs bs 
dz0 da aqa22 dz3 kzo kz kz kz bso bz bz bzs 
aso ds asz da3s kso ks ks: kss po ba bs bss 
通过 以 上 XOR 操作 后 ,生成 的 5b; 再 替换 掉 state 中 的 a; ,这 时 aj; 就 是 加 密 后 的 密 文 。 
在 以 上 操作 中 ,由 于 每 一 步 都 是 可 逆 的 ,所 以 解密 过 程 也 非常 简单 ,只 要 将 加 密 算法 反 
过 来 运行 就 可 以 实现 。 


2.4.5 其 他 分 组 密码 算法 


在 分 组 密码 算法 中 ,本 书 重点 介绍 了 DES、3DES 和 AES。 除 此 之 外 ,本 节 将 简要 介绍 
几 种 重要 的 分 组 密码 算法 。 

1. 国际 数据 加 密 算法 

DES 加 密 标准 的 出 现在 密码 学 上 具有 划时代 的 意义 ,但 比 DES 更 安全 的 加 密 算法 也 
在 不 断 出 现 。 除 3DES 外 , 另 一 个 对 称 加 密 系 统 是 国际 数据 加 密 算法 (International Data 
Encryption Algorithm ,IDEA) 。 

IDEA 的 明文 和 密 文 都 是 64 位 ,但 密 钥 长 度 为 128 位 ,因而 更 加 安全 。IDEA 和 DES 
相似 ,也 是 先 将 明文 划分 为 一 个 个 64 位 的 数据 块 ,然后 经 过 8 轮 编码 和 一 次 替换 ,得 出 64 
位 的 密 文 。 同 时 ,对 于 每 一 轮 的 编码 ,每 一 个 输出 位 都 与 每 一 个 输入 位 有 关 。IDEA 比 DES 
的 加 密 性 好 ,加 密 和 解密 的 运算 速度 很 快 ,无 论 是 软件 还 是 硬件 ,实现 起 来 都 比较 容易 。 

2. RC5/RC6 

RC5 和 RC6 分 组 密码 算法 是 由 MIT( 麻 省 理工 学 院 ) 的 Ron Rivest 于 1994 年 提出 的 ， 
并 由 RSA 实验 室 对 其 性 能 进行 分 析 。RC5 适合 于 硬件 和 软件 实现 ,只 使 用 在 微 处 理 器 上 。 
RC5 的 设计 特性 如 下 。 

(1) 快速 。RC5 是 面向 字 的 ,在 基本 操作 中 每 次 对 数据 的 整个 字 进 行 处 理 。 

(2) 适用 于 不 同 字 长 的 处 理 器 。 一 个 字 中 的 位 数 作为 RC5 的 一 个 参数 ,不 同 的 字 长 使 
用 不 同 的 算法 。 

(3) 可 变 的 循环 次 数 。 循 环 次 数 是 RC5 的 另 一 个 参数 ,这 个 参数 使 RC5 可 以 在 更 高 的 
速度 和 更 高 的 安全 性 之 间 进 行 折 应 选择 。 

(4) 可 变 长 度 的 密 钥 。 密 钥 长 度 是 RC5 的 第 3 个 参数 ,这 个 参数 可 以 用 来 在 更 高 的 速 
度 和 更 高 的 安全 性 之 间 进 行 折衷 选择 。 

(5) 结构 简单 。RC5 的 结构 简单 ,易于 实现 ,并 简化 了 确定 算法 的 操作 强度 。 

(6) 内 存 要 求 低 。 由 于 RC5 算法 对 设备 内 存 的 要 求 很 低 , 所 以 可 以 应 用 在 智能 卡 等 有 
限 内 存 的 设备 上 。 

(7) 大 量 使 用 数据 依赖 循环 。RC5 中 移 位 的 位 数 依赖 于 数据 的 循环 操作 ,以 加 强 算 法 
对 密码 分 析 的 抵抗 能 力 。 

RC5 已 经 被 用 于 RSA 的 主要 产品 中 ,包括 BSAFE、S/MAIL 等 。RC5 中 使 用 的 三 个 
参数 如 表 2-1 所 示 。 
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表 2-1 RC5 算法 中 的 三 个 参数 说 明 


定义 取 值 范围 
) 字 的 大 小 ,RC5 对 两 字 分 组 进行 加 密 16 .32,64 
8 循环 次 数 051,2,°5255 
b 密 钥 K 中 8 位 字 节 的 个 数 O12 "3255 


具体 来 说 ,RC5 可 以 将 32 位 、64 位 或 128 位 长 度 的 明文 分 组 进行 加 密 , 生 成 同样 长 度 
的 密 文 分 组 。 使 用 的 密 钥 长 度 为 0 一 2040 位 ,加 密 的 循环 次 数 可 在 0 一 255 之 间 选 择 。 所 
以 ,RC5 的 一 个 特定 的 版 本 被 写成 RC5-w/r/b, 例 如 RC5-32/12/16, 即 明文 分 组 的 字 大 小 
为 32 位 (加 密 操 作 时 为 64 位 ,32 位 的 明文 和 32 位 的 密 文 分 组 ), 加 密 和 解密 算法 包含 12 
次 循环 , 密 钥 长 度 为 16 个 字 节 (128 位 )。Ron Rivest 建议 把 RC5-32/12/16 作为 指定 版 本 
使 用 。 

RC6 是 在 RC5 的 基础 上 设计 出 来 的 。 当 1997 年 美国 国家 标准 技术 委员 会 征集 ADE 
算法 时 ,RSA 实验 室 想 在 RC5 的 基础 上 设计 一 种 新 密码 ,力争 在 满足 AES 要 求 的 同时 ,还 
具有 更 简单 的 设计 、 更 高 的 安全 性 和 更 好 的 性 能 。 但 在 2001 年 公布 的 AES 结果 中 ,RC6 落 
选 了 。 

RC6 继承 了 RC5 的 优点 ,并 且 为 了 符合 美国 国家 标准 技术 委员 会 提出 的 分 组 长 度 为 
128 位 的 要 求 ,RC6 使 用 了 4 个 寄存 器 ,并 加 入 了 32 位 的 整数 乘法 ,用 于 加 强 扩 展 性 。 与 
RC5 的 表示 一 样 ,RC6 可 以 更 精确 地 表示 为 RC6-w/r/b, 其 中 字 长 ww 为 32 位 (与 RC5 相 
同 ) ,加 密 轮 数 7 为 20, 加 密 密 钥 的 字 节 数 5 为 16、24 或 32 字 节 。 

3. TEA 

TEA(Tiny Encryption Algorithm, 微 型 加 密 算法 ) 是 由 英国 剑桥 大 学 计算 机 实验 室 的 
David J. Wheeler 和 Roger M. Needham 于 1994 年 提出 的 一 种 对 称 分 组 密码 算法 。 它 采用 
128 位 的 密 钥 对 64 位 的 数据 分 组 进行 加 密 ,其 循环 次 数 可 由 用 户 根据 加 密 强 度 需要 设 定 。 

在 前 面 介绍 的 分 组 密码 设计 中 ,需要 在 每 轮 操 作 的 复杂 度 和 执行 轮 数 之 间 进 行 折 囊 。 
其 中 ,DES 在 两 者 之 间 进 行 平衡 ,而 AES 减少 了 轮 数 却 增加 了 轮 函 数 的 复杂 度 。TEA 使 用 
非常 简单 的 轮 函数 , 它 通过 增加 循环 的 轮 数 来 提高 算法 的 安全 性 。 

由 于 TEA 不 是 Feistel 结构 密码 ,所 以 需要 设计 加 密 和 解密 的 程序 ,不 过 同时 实现 加 密 
和 解密 的 程序 对 TEA 只 需要 几 行 代码 。 另 一 方面 ,由 于 TEA 近似 于 Feistel 结构 密码 ,所 
以 可 使 用 加 法 和 减法 运算 来 代替 XOR 操作 。TEA 在 加 密 和 解密 过 程 中 ,加 法 运算 和 减法 
运算 用 作 可 逆 的 操作 。 算 法 轮流 使 用 异 或 运算 和 加 法 运算 提供 非 线 性 特性 , 双 移 位 操作 使 
密 钥 和 数据 的 所 有 位 重复 地 混合 。 

一 般 认为 ,32 轮 循环 就 具备 足够 的 加 密 强 度 。 当 循环 次 数 达到 32 轮 以 上 时 ,TEA 算 
法 将 具有 很 强 的 抗 攻 击 能 力 。 另 外 .由 于 TEA 采用 了 128 位 的 密 钥 ,并 且 不 存在 DES 算法 
中 的 S 盒子 问题 ,算法 本 身 非 常 简练 ,所 以 无 论 采 用 软件 方式 还 是 硬件 方式 ,实现 起 来 都 非 
常 容易 。 因 此 ,TEA 是 一 种 较为 优秀 的 对 称 分 组 密码 算法 。 

其 他 的 分 组 加 密 算法 还 有 LOKI、CAST-256、CRYPTON、E2、DEAL、FROG、SAFER 十 、 
MAGENTA、SERPENT、MARS、DFC、Twofish 和 HPC 等 。 这 13 个 算法 都 是 1998 年 公 
布 的 AES 中 的 候选 算法 , 另 两 个 是 前 面 介绍 的 RC6 和 Rijndael。 


2.5 非 对 称 加 密 


非 对 称 加 密 也 称 为 公 钥 加 密 。 在 对 称 加 密 系 统 中 ,加 密 和 解密 的 双方 使 用 的 是 相同 的 
密 钥 。 在 实际 情况 下 ,怎么 才能 实现 加 密 和 解密 的 密 钥 一 致 呢 ? 一 般 有 两 种 方式 : 事先 约 
定 和 用 信使 来 传送 。 如 果 加 密 和 解密 的 双方 对 密 钥 进行 了 事先 约定 ,就 会 给 密 钥 的 管理 和 
更 换 带 来 极 大 的 不 便 ; 如 果 使 用 信使 来 传送 密 钥 ,很 显然 是 不 安全 的 。 另 一 种 可 行 的 方法 
是 通过 密 钥 分 配 中 心 (Key Distribution Center,KDC) 来 管理 密 钥 ,这 种 方法 虽然 安全 性 较 
高 ,但 所 需要 的 成 本 也 会 增 大 。 而 非 对 称 加 密 可 以 解决 此 问题 。 


2.5.1 非 对 称 加 密 概 述 


非 对 称 加 密 的 出 现在 密码 学 史上 是 一 个 重要 的 里 程 碑 。 非 对 称 加 密 中 使 用 的 公开 密 钥 
(或 公 钥 密 钥 ) 的 概念 是 在 解决 对 称 加 密 的 单 密码 方式 中 最 难 解决 的 两 个 问题 时 提出 的 ,这 
两 个 问题 是 : 密 钥 分 配 和 数字 签名 。 

在 使 用 单 钥 密码 进行 加 密 通 信 时 ,对 于 密 钥 的 分 配 和 管理 一 般 有 两 种 方式 : 一 种 是 通 
信 双 方 拥有 一 个 共享 的 密 钥 ; 另 一 种 是 借助 于 一 个 密 钥 分 配 中 心 。 如 果 是 前 者 ,可 用 人 工 
方式 传送 双方 的 共享 密 钥 ,其 成 本 较 高 ,而 且 安全 性 要 依赖 于 信使 的 可 靠 性 。 如 果 是 后 者 ， 
则 完全 依赖 于 密 钥 分 配 中 心 的 可 靠 性 。 第 二 个 问题 是 数字 签名 。 考 虑 的 是 如 何 对 数字 化 的 
消息 或 文件 提供 一 种 类 似 于 书面 文件 的 手书 签名 方式 。1976 年 , W. Diffice 和 M. Hellman 
为 解决 以 上 问题 ,提出 了 公 钥 密码 体制 。 

在 非 对称 加 密 体 系 中 , 密 钥 被 分 解 为 一 对 , 即 公 开 密 钥 和 私有 密 钥 。 这 对 密 钥 中 的 任何 
一 把 都 可 以 作为 公开 密 钥 (加 密 密 钥 ) 通 过 非 保密 方式 向 他 人 公开 ,而 另 一 把 作为 私有 密 钥 
(解密 密 钥 ) 加 以 保存 。 在 加 密 系 统 中 ,公开 密 钥 用 于 加 密 , 私 有 密 钥 用 于 解密 。 私 有 密 钥 只 
能 由 生成 密 钥 的 交换 方 掌握 ,公开 密 钥 可 广泛 公布 ,但 它 只 对 应 于 生成 密 钥 的 交换 方 。 

非 对称 加 密 算法 具有 如 下 特点 。 

(1) 用 公开 密 钥 加 密 的 数据 (消息 ), 只 有 使 用 相应 的 私有 密 钥 才 能 解密 。 这 一 过 程 称 
为 加 密 。 

(2) 使 用 私有 密 钥 加 密 的 数据 (消息 ) ,也 只 有 相应 的 公开 密 钥 才能 解密 。 这 一 过 程 称 
为 数字 签名 。 

如 图 2-15 所 示 ,如 果 某 一 用 户 要 给 用 户 A 发 送 一 个 数据 ,这 时 该 用 户 会 在 公开 的 密 钥 
中 找到 与 用 户 A 所 拥有 的 私有 密 钥 对 应 的 一 个 公开 密 钥 ,然后 用 此 公开 密 钥 对 数据 进行 加 
密 后 发 送 到 网 络 中 传输 。 用 户 A 在 接收 到 密 文 后 便 通 过 自己 的 私有 密 钥 进行 解密 ,因为 数 
据 的 发 送 方 使 用 接收 方 的 公开 密 钥 来 加 密 数据 ,所 以 只 有 用 户 A 才能 够 读 懂 该 密 文 。 当 其 
他 用 户 获 得 该 密 文 时 ,因为 他 们 没有 加 密 该 信息 的 公开 密 钥 对 应 的 私有 密 钥 ,所 以 无 法 读 懂 
该 密 文 。 

在 非 对 称 加 密 中 ,所 有 参与 加 密 通 信 的 用 户 都 可 以 获得 每 个 用 户 的 公开 密 钥 ,而 每 一 个 
用 户 的 私有 密 钥 由 用 户 在 本 地 产生 ,不 需要 被 事先 分 配 。 在 一 个 系统 中 ,只 要 能 够 管理 好 每 
一 个 用 户 的 私有 密 钥 ,用 户 收 到 的 通信 内 容 则 是 安全 的 。 任 何 时 候 , 一 个 系统 都 可 以 更 改 它 
的 私有 密 钥 ,并 公开 相应 的 公开 密 钥 来 蔡 代 它 原来 的 公开 密 钥 。 
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图 2-15 非 对 称 密 钥 的 加 密 和 解密 过 程 


非 对 称 加 密 方式 可 以 使 通信 双方 无 需 事先 交换 密 钥 就 可 以 建立 安全 通信 ,广泛 应 用 于 
身份 认证 ,数字 签名 等 信息 交换 领域 。 公 开 密 钥 体系 是 基于 * 单 向 陷 门 函数 "的 , 即 一 个 函数 
正 向 计算 是 很 容易 的 ,但 是 反 向 计算 则 是 非常 困难 的 。 陷 门 的 目的 是 确保 攻击 者 不 能 使 用 
公开 的 信息 得 出 秘密 的 信息 。 例 如 ,计算 两 个 质数 p 和 g 的 乘积 n= pgq 是 很 容易 的 ,但 是 
要 分 解 已 知 的 nn 成 为 p 和 g 是 非常 困难 的 。 

遵循 业界 的 约定 ,本 章 在 介绍 对 称 加 密 时 ,明文 为 已, 密 文 为 C。 而 在 非 对 称 加 密 中 ,用 
M( 也 可 以 用 已) 表示 要 加 密 的 信息 ,加 密 结果 仍然 用 C 表示 。 


2.5.2 RSA 


RSA(RSA 三 个 八 胃 大 各 委员 第 一 个 字母 ) 算 法 是 Rivest、Shamir 和 Adleman 于 
1977 年 提出 的 第 一 个 完善 的 公开 密 钥 算法 ,其 安全 性 是 基于 分 解 大 整数 的 困难 性 。 在 RSA 
算法 中 使 用 了 这 样 一 个 基本 事实 : 到 目前 为 止 , 无 法 找到 一 个 有 效 的 算法 来 分 解 两 个 大 质 
数 之 积 

1. RSA 的 原理 

RSA 公开 密 钥 算法 的 原理 如 下 。 

Q@ 选择 两 个 互 异 的 大 质数 p 和 gq(p 和 g 必须 保密 ,一 般 取 1024 位 ) 。 

@ 计算 出 n=pq,z=(p 一 1)(g 一 1)。 

@ 选择 一 个 比 n 小 且 与 x 互 质 (没有 公 因 子 ) 的 数 e。 

@ 找 出 一 个 d, 使 得 ed 一 1 能 够 被 > 整除 。 其 中 ,ed 二 1 mod(p 一 1)(g 一 1)。 

@ 因为 RSA 是 一 种 分 组 密码 系统 ,所 以 公开 密 钥 ==(n,e) ,私有 密 钥 = (n,d)。 

在 以 上 的 关系 式 中 ,n 称 为 模 数 ,通信 双方 都 必须 知道 ; e 为 加 密 运 算 的 指数 ,发 送 方 需 
要 知道 ; 而 4 为 解密 运算 的 指数 ,只 有 接收 方才 能 知道 。 

将 以 上 的 过 程 进一步 描述 如 下 。 

公开 密 钥 : ?一 各 人 gq 分 别 为 两 个 互 异 的 大 素数 , 户 .d 必须 保密 ),e 与 (p 一 1)(g 一 1) 互 质 。 
私有 密 钥 : d 一 ce-:{mod(p 一 1)(q 一 1) ) 。 

加 密 : C 一 M:(modz) ,其 中 M 为 明文 ,C 为 密 文 。 

解密 : M 王 Cdz(modz) 一 (Me:)aCmodz) 一 Me (modz) 。 

2. RSA 应 用 举例 

为 了 对 字母 表 中 的 第 M 个 字母 加 密 , 加 密 算法 为 C= 二 Mr (modn) ,第 C 个 字母 即 为 加 密 
后 的 字母 。 对 应 的 解密 算法 为 M 一 CzCmodz) 。 下 面 以 一 个 简单 的 例子 进行 计算 。 

@@ 设 p=5,g=7。 


@ 所 以 一 po 一 35,=* 一 (5 一 1)(7 一 1) 一 24。 
@ 选择 e 王 5( 因 为 5 与 24 互 质 )。 
@ 选择 d= 二 29(ed 一 1 二 144, 可 以 被 24 整除 ) 。 
@ 所 以 公开 密 钥 为 (35,5) ,私有 密 钥 为 (35 ,29)。 
如 果 被 加 密 的 是 26 个 字母 中 的 第 12 个 字母 (L) , 则 它 的 密 文 为 : 
C= 12(mod 35) = 17 
第 17 个 字母 为 Q, 解 密 得 到 的 明文 为 : 
M= 17?(mod 35) = 12, 
通过 以 上 的 计算 可 以 看 出 , 当 两 个 互 质数 p 和 g 取 的 值 足够 大 时 ,RSA 的 加 密 是 非常 
安全 的 。 


2.5.3 其 他 非 对 称 加 密 算 法 


在 非 对 称 加 密 算法 中 , 除 前 面 介绍 的 RSA 外 ,还 有 DH 算法 和 椭圆 曲线 密码 等 ,以 下 进 
行 简要 介绍 。 

1. DH 算法 

DH(Diffie-Hellman) 算 法 是 一 种 “ 密 钥 交 换 " 算 法 , 它 主要 为 对 称 密码 的 传输 提供 共享 
信道 ,而 不 是 用 于 加 密 或 数字 签名 。 

DH 的 数学 描述 相对 简单 。 令 p 为 质数 ,g 为 生成 元 , 即 对 于 任意 xE (1,2,3,…,p 一 1}， 
可 以 找到 指数 ,使 得 x 二 g”"modp。 其 中 ,p 的 值 和 生成 元 g 是 公开 的 。 现 在 为 了 实现 密 钥 
交换 ,用 户 A 生成 他 的 密 钥 指数 a, 用 户 B 生 成 他 的 密 钥 指数 6。 用 户 A 发 送 (g*modp) 给 
用 户 B, 用 户 BB 发 送 (g*modp) 给 用 户 A。 于 是 用 户 A 计算 : 

(g')*modp = g”* modp 


用 户 也 计算， 
(g")*modp = g*modp 
于 是 (g*modp) 就 是 用 于 共享 信道 的 对 称 密 钥 。DH 密 钥 的 交换 过 程 如 图 2-16 所 示 。 


g modp 
时 gmodp 元 
用 户 A 用 户 B 
图 2-16 DH 密 钥 交换 方式 


2. 椭圆 曲线 密码 

椭圆 曲线 密码 (Elliptic Curve Cryptography, ECC) 是 自 RSA 后 出 现 的 一 个 有 竞争 力 
的 公开 密 钥 算法 。 椭 圆 曲 线 密码 系统 的 安全 强度 不 但 依赖 于 在 椭圆 曲线 上 离散 对 数 的 分 解 
难度 ,也 依赖 于 曲线 的 选择 。 

椭圆 曲线 离散 对 数 问 题 (ECDLP) 是 椭圆 曲线 密码 学 的 基础 。 椭 圆 曲 线 离散 对 数 问题 
可 描述 如 下 : 给 定 (或 根据 某 一 法 则 构造 ) 一 条 椭圆 曲线 下 ,并 在 曲线 上 取 一 点 了 ,并 用 xP 
表示 点 了 与 自身 相 加 工 次 , 即 zxP 王 P 十 P 十 … 十 P. 共 有 个 P 相 加 。 假 设 曲线 E 上 有 一 点 
Q, 使 得 Q=zP 成 立 ,那么 椭圆 曲线 离散 对 数 问题 就 是 给 定点 P 和 点 Q, 求 解 工 的 问题 。 下 
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面 是 ECC 的 ECDLP 算法 。 
(1) 系统 的 建立 。 选 取 一 个 基 域 F, ,一 个 定义 在 F, 上 的 椭圆 曲线 下 和 下 上 一 个 为 质 
数 阶 n 的 点 P, 点 P 的 坐标 用 (zj,y,) 表 示 。 有 限 域 F, .椭圆 曲线 参数 ( 即 域 元 素 gc 和 0, 元 


(2) 密 钥 的 生成 。 系 统 建 成 后 ,通信 双方 执行 下 列 计算 。 

@ 在 区 间 [1,n 一 1] 中 随机 选取 一 个 整数 4 。 

@ 计算 点 Q=dP。 

@ 用 户 的 公开 密 钥 包 含 点 Q, 用 户 的 私有 密 钥 是 整数 d。 

(3) 加 密 过 程 。 假 设 , 当 用 户 B 发 送信 息 M 给 用 户 A 时 ,用 户 B 将 执行 下 列 操作 。 

Q@ 查找 用 户 A 的 公 钥 Q。 

四 将 数据 M 表示 成 一 个 域 元 素 M。 

@ 在 区 间 [1,n 一 1 内 选择 一 个 随机 整数 k。 

@ 计算 点 (zx1,y1)==kP。 

@ 计算 点 (zs ,ys) 一 AQ, 如 果 zx, 二 0, 则 回 到 第 @ 步 。 

@@ 计算 c=Mz;。 

@ 传送 加 密 数据 (zi ,yi,c) 给 用 户 A。 

(4) 解密 过 程 。 当 用 户 A 解密 从 用 户 B 收 到 的 密 文 (zi ,wm ,c) 时 ,用 户 A 执行 下 列 操作 。 

Q@ 使 用 用 户 A 的 私有 密 钥 4d, 计算 点 (x2 ,ys) 二 d (zi,y1)。 

@ 通过 计算 M=c/xs ,得 到 明文 数据 M。 

(5) ECC 的 特点 。 基 于 离散 对 数 问题 的 椭圆 曲线 密码 体制 有 两 方面 的 特点 : 一 方面 ， 
它 把 实数 域 上 的 乘法 运算 ,指数 运算 等 映射 成 椭圆 曲线 上 的 加 法 运算 。 无 论 是 用 硬件 实现 
还 是 用 软件 实现 ,都 比 其 他 公开 密 钥 体 系 更 快 ,更 容易 实现 ,成 本 更 低 。 另 一 方面 ,在 有 限 数 
域 的 椭圆 曲线 上 要 求 出 上 面 的 & ,同时 涉及 到 整数 因 式 分 解 问题 和 离散 对 数 问题 ,解决 这 些 
问题 的 难度 在 很 大 程度 上 增加 了 ECC 的 安全 性 。 

2003 年 5 月 12 日 中 国 颁布 的 无 线 局 域 网 国家 标准 GB15629. 11 中 ,包含 了 全 新 的 
WAPI(WLAN Authentication and Privacy Infrastructure) 安 全 机 制 , 其 中 用 到 的 数字 签名 
就 采用 了 ECC 算法 。 另 外 ,国际 上 最 著名 的 ECC 密码 技术 公司 加 拿 大 Certicom 公司 已 授 
权 300 多 家 企业 使 用 ECC 密码 技术 ,包括 Cisco 系统 有 限 公 司 . 摩托罗拉 等 企业 。 
Microsoft 公司 将 Certicom 公司 的 VPN 艇 入 到 Windows Server 2003 操作 系统 中 。 


2.6 数字 签名 


多 少年 来 ,人 们 一 直 在 根据 亲笔 签名 或 印章 来 鉴别 书信 或 文件 的 真实 性 。 但 随 着 基于 
计算 机 网 络 所 支持 的 电子 商务 、 网 上 办 公 等 平台 的 广泛 应 用 ,原始 的 亲笔 签名 和 印章 方式 已 
无 法 满足 应 用 需要 ,因此 数字 签名 技术 应 运 而 生 。 

2.6.1 数字 签名 的 概念 和 要 求 


数字 签名 (digital signature) 在 TS07498-2 标准 中 的 定义 为 :“ 附 加 在 数据 单元 上 的 一 
些 数据 ,或 是 对 数据 单元 所 作 的 密码 变换 。 这 种 数据 和 变换 允许 数据 单元 的 接收 者 用 以 确 


认 数 据 单元 来 源 和 数据 单元 的 完整 性 ,并 保护 数据 ,防止 被 人 (例如 接收 者 伪造。 数字 签名 
必须 同时 满足 以 下 的 要 求 。 

(1) 发 送 者 事后 不 能 否认 对 报 文 的 签名 。 

(2) 接收 者 能 够 核实 发 送 者 发 送 的 报 文 签名 。 

(3) 接收 者 不 能 伪造 发 送 者 的 报 文 签名 。 

(4) 接收 者 不 能 对 发 送 者 的 报 文 进行 部 分 自 改 。 

(5) 网 络 中 的 其 他 用 户 不 能 冒充 成 为 报 文 的 接收 者 或 发 送 者 。 

数字 签名 是 实现 安全 认证 的 重要 工具 和 手段 , 它 能 够 提供 身份 认证 ,数据 完整 性 和 不 可 
抵赖 等 安全 服务 。 

(1) 防 冒 充 (伪造 )。 其 他 人 不 能 伪造 对 消息 的 签名 ,因为 私有 密 钥 只 有 签名 者 自己 知 
道 和 拥有 ,所 以 其 他 人 不 可 能 构造 出 正确 的 签名 数据 。 

(2) 可 鉴别 身份 。 接 收 者 使 用 发 送 者 的 公开 密 钥 对 签名 报 文 进行 解密 运算 ,并 证 明 对 
方 身份 是 真实 的 。 

(3) 防 自 改 。 即 防止 破坏 信息 的 完整 性 。 签 名 数据 和 原 有 文件 经 过 加 密 处 理 已 形成 了 
一 个 密 文 数据 ,不 可 能 被 自 改 ,从 而 保证 了 数据 的 完整 性 。 

(4) 防 抵赖 。 数 字 签 名 可 以 鉴别 身份 ,不 可 能 冒充 伪造 。 

数字 签名 是 附加 在 报 文 (数据 或 消息 ) 上 并 随 报 文 一 起 传送 的 一 串 代码 ,与 传统 的 亲笔 
签名 和 印章 一 样 ,目的 是 让 接收 方 相信 报 文 的 真实 性 ,必要 时 还 可 以 对 真实 性 进行 鉴别 。 现 
在 已 有 多 种 数字 签名 的 实现 方法 ,但 采用 较 多 的 还 是 技术 上 非常 成 熟 的 数据 加 密 技术 ,其 中 既 
可 以 采用 对 称 加 密 , 也 可 以 采用 非 对 称 加 密 , 但 非 对 称 加 密 要 比 对 称 加 密 更 容易 实现 和 管理 。 


2.6.2 利用 对 称 加 密 方 式 实现 数字 签名 


读者 已 经 知道 ,对 称 加 密 在 通信 过 程 中 存在 一 定 的 缺陷 ,主要 是 密 钥 的 交换 比较 困难 。 
在 对 称 加 密 中 ,由 于 加 密 密 钥 和 解密 密 钥 是 相同 的 ,如 果 将 其 用 于 数字 签名 , 则 要 求 消息 的 
发 送 者 和 接收 者 都 要 使 用 相同 的 密 钥 。 发 送 者 用 密 钥 对 消息 进行 加 密 处 理 ( 签 名 ) 生 成 密 
文 , 接 收 者 对 接收 到 的 密 文 利用 同一 个 密 钥 进行 解密 。 在 这 一 过 程 中 ,读者 会 发 现 违反 了 数 
字 签 名 的 一 个 原则 : 防 抵赖 。 由 于 在 加 密 ( 签 名 ) 和 解密 (鉴别 身份 ) 过 程 中 ,参与 者 只 有 消 
息 的 发 送 方 和 接收 方 ,而 没有 第 三 方 ,一 旦 出 现 签名 的 抵赖 , 则 无 法 进行 判别 。 

为 解决 这 一 问题 ,在 利用 对 称 加 密 方式 实现 数字 签名 的 过 程 中 ,需要 一 个 大 家 共同 依赖 
的 权威 机 构 作 为 第 三 方 。 数 字 签 名 的 用 户 都 要 向 该 权威 机 构 申 请 一 个 密 钥 ,这 个 密 钥 在 该 
系统 中 是 唯一 的 , 即 唯一 标识 了 某 一 个 用 户 。 当 权威 机 构 向 用 户 分 配 了 密 钥 后 ,将 该 密 钥 的 
副本 保存 在 该 机 构 的 数据 库 中 ,用 以 识别 用 户 的 真实 性 。 

现在 ,假设 用 户 A 和 用 户 B 之 间 要 实现 数字 签名 ,具体 过 程 如 下 (如 图 2-17 所 示 )。 

(1) 用 户 A 对 要 发 送 的 明文 消息 P 进行 签名 处 理 ,生成 Ka(B,Ra,t,P)。 其 中 ,Ka 是 
用 户 A 的 加 密 密 钥 , 即 从 权威 机 构 申请 到 的 密 钥 ; B 是 用 户 B 的 标识 ,在 网 络 上 是 公开 的 ; 
Ra 是 用 户 A 选择 的 一 个 随机 数 ,以 防止 用 户 B 收 到 重复 的 签名 消息 ; 上 是 一 个 时 间 戳 ,用 
来 保证 该 消息 是 最 新 的 ; P 是 用 户 A 要 发 送 的 明文 消息 。 

(2) 用 户 A 将 利用 自己 的 密 钥 加 密生 成 的 签名 消息 Ka(B,Ra.t,P) 发 送出 去 ,当权 威 
机 构 接 收 到 该 消息 后 ,通过 数据 库 中 用 户 A 的 密 钥 副本 Ka 知道 该 消息 是 用 户 A 发 送 的 ， 
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所 以 将 利用 密 钥 副本 Ka 进行 解密 处 理 , 得 到 用 户 A 发 送 的 明文 P。 并 根据 用 户 的 标识 符 
知道 该 消息 是 发 送 给 用 户 BB 的 。 

(3) 权威 机 构 利 用 用 户 B 的 密 钥 副本 Ks 生成 消息 Ks(A,Ra.t,P,Kc(A,t,P))。 其 
中 Kc(A,t,P) 是 一 条 由 权威 机 构 经 过 签名 的 消息 ,一 旦 将 来 出 现 抵赖 , 则 可 以 通过 该 消息 
来 证 明 。 

(4) 用 户 B 在 接收 到 消息 Ks(A,Ra.t,P,Ke(A,t,P)) 后 ,利用 自己 的 密 钥 Ks 解密 得 
到 用 户 A 发 送 的 明文 。 

在 如 图 2-17 所 示 的 数字 签名 方式 中 ,系统 的 安全 性 主要 决定 于 两 个 方面 : 一 是 用 户 密 
钥 保存 中 的 安全 性 ; 二 是 权威 机 构 的 可 信赖 性 。 


己 A,KA(B,R11,P) 机 Kp(A,Rast,P,Ke(A,t.P)) 
A 


图 2-17 利用 对 称 加 密实 现 数字 签名 


2.6.3 利用 非 对 称 加 密 方 式 实现 数字 签名 


在 利用 对 称 加 密实 现 的 数字 签名 中 ,用 户 必须 依赖 第 三 方 的 权威 机 构 , 所 以 权威 机 构 的 
可 信任 度 是 决定 该 方式 能 否 正常 使 用 的 关键 。 然 而 , 非 对 称 加 密 解 决 了 这 一 问题 。 

利用 非 对 称 加 密 方式 实现 数字 签名 ,主要 是 基于 在 加 密 和 解密 过 程 中 D(E(P)) 二 P 和 
E(D(P))==P 两 种 方式 的 同时 实现 ,其 中 前 面 介绍 的 RSA 算法 就 具有 此 功能 。 

具体 实现 过 程 如 图 2-18 所 示 ,首先 发 送 方 利用 自己 的 私有 密 钥 对 消息 进行 加 密 ( 这 次 
加 密 的 目的 是 实现 签名 ) ,接着 对 经 过 签名 的 消息 利用 接收 方 的 公开 密 钥 再 进行 加 密 (这 次 
加 密 的 目的 是 保证 消息 传送 的 安全 性 ) 。 这 样 ,经 过 双重 加 密 后 的 消息 ( 密 文 ) 通 过 网 络 传送 
到 接收 方 。 接 收 方 在 接收 到 密 文 后 ,首先 利用 接收 方 的 私有 密 钥 进行 第 一 次 解密 (保证 数据 的 
完全 性 ) ,接着 再 用 发 送 方 的 公开 密 钥 进行 第 二 次 解密 (鉴别 签名 的 真实 性 ) ,最 后 得 到 明文 。 


发 送 方 私 有 密 钥 “接收 方 公开 密 钥 | 


et 


1 
1 
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图 2-18 具有 保密 功能 的 数字 签名 实现 过 程 


现在 ,假设 发 送 方 否认 自己 给 接收 方 发 送 过 消息 P。 这 时 ,接收 方 只 需要 同时 提供 P 
和 Da(P)。 第 三 方 可 对 接收 方 提供 的 Da(P) 利 用 Es 进行 解密 , 即 Ea4(Da(P))。 由 于 
Da (P) 是 由 发 送 方 使 用 自己 的 私有 密 钥 签 名 的 ,而 E4 是 发 送 方 的 公开 密 钥 ,第 三 方 很 容易 


得 到 且 不 需要 发 送 方 的 许可 。 如 果 EaA(DaA(CP)) 一 已 , 则 说 明 该 消息 肯定 是 发 送 方 发 送 的 ， 
因为 只 有 发 送 方才 有 签名 密 钥 D。 。 


2.7 报 文 鉴别 


报 文 鉴别 (message authentication) 是 在 信息 领域 防止 各 种 主动 攻击 (如 信息 的 纂 改 与 
伪造 ) 的 有 效 方法 。 报 文 鉴别 要 求 报 文 的 接收 方 能 够 验证 所 收 到 的 报 文 的 真实 性 ,包括 发 送 
者 姓名 发送 时 间 和 发 送 内 容 等 。 


2.7.1 报 文 鉴别 的 概念 和 现状 


报 文 鉴别 也 称 * 报 文 认证 ”或 “消息 认证 ”, 是 一 个 证 实 收 到 的 报 文 来 自 可 信任 的 信息 源 
且 未 被 算 改 的 过 程 。 报 文 鉴别 也 可 用 于 证 实 报 文 的 序列 编号 和 及 时 性 ,因此 利用 报 文 鉴别 
方式 可 以 避免 以 下 现象 的 发 生 。 

(1) 伪造 消息 。 攻 击 者 伪造 消息 发 送 给 目标 端 , 却 声称 该 消息 源 来 自 一 个 已 授权 的 实 
体 ( 如 计算 机 或 用 户 ) ,或 攻击 者 以 接收 者 的 名 义 伪 造假 的 确认 报 文 。 

(2) 内 容 自 改 。 以 插入 、 删 除 、 调 换 或 修改 等 方式 算 改 消息 。 

(3) 序号 算 改 : 在 像 TCP 等 依赖 报 文 序列 号 的 通信 协议 中 ,对 通信 双方 的 报 文 序号 进 
行 修改 ,包括 插入、 删除 和 重 排序 号 等 。 这 在 目前 的 网 络 攻击 事件 中 很 常见 。 

(4) 记 时 算 改 。 算 改 报 文 的 时 间 戳 以 达到 报 文 延迟 或 重 传 的 目的 。 

产生 报 文 鉴别 符 的 方法 可 归纳 为 三 种 : 一 是 对 报 文 进行 加 密 , 以 整个 报 文 的 密 文 作为 
鉴别 符 ; 二 是 用 消息 认证 码 (Message Authentication Code, MAC) ,该 算法 使 用 一 个 密 钥 ， 
以 报 文 内 容 为 输入 ,产生 一 个 较 短 的 定 长 值 作为 鉴别 符 ; 三 是 用 喻 希 (Hash) 函数 ,也 叫 散 
列 函数 或 杂凑 函数 ,是 一 个 将 任意 长 的 报 文 映 射 为 定 长 Hash 值 的 公共 函数 ,以 Hash 值 作 
为 鉴别 符 。 

目前 , 像 对 称 加 密 、 非 对 称 加 密 等 常规 的 加 密 技术 已 十 分 成 熟 , 但 出 于 多 种 原因 ,常规 加 
密 技术 没有 被 简单 地 应 用 到 报 文 鉴别 符 , 实 际 应 用 中 一 般 采 用 独立 的 报 文 鉴别 码 。 目 前 ,用 
避免 加 密 的 方法 提供 报 文 鉴别 越 来 越 受到 重视 。 在 最 近 几 年 , 报 文 鉴别 研究 的 热点 转向 由 
Hash 函数 导出 MAC。 


2.7.2 Hash 函数 


Hash 函数 是 一 种 能 够 将 任意 长 度 的 消息 压缩 到 某 一 固定 长 度 的 消息 摘要 (message 
digest) 的 函数 。Hash 函数 的 基本 思想 是 把 其 函数 值 看 成 输入 报 文 的 报 文摘 要 , 当 输入 中 
的 任何 一 个 二 进 制 位 发 生变 化 时 都 将 引起 Hash 函数 值 的 变化 ,其 目的 就 是 要 产生 文件 、 消 
息 或 其 他 数据 块 的 “指纹 ”。 密 码 学 上 的 Hash 函数 能 够 接受 任意 长 的 消息 为 输入 ,并 产生 
定 长 的 输出 。 为 了 满足 报 文 鉴别 的 数据 完整 性 需要 ,Hash 函数 厅 〇 必须 满足 以 下 特点 。 

(1) 效率 。 对 于 任意 给 定 的 输入 zx, 计算 > 一 互 (z) 要 相对 容易 。 并 且 , 随 着 输入 z 长 度 
的 增加 ,虽然 计算 > 王 五 (z) 的 工作 量 会 增加 ,但 增加 的 量 不 会 太 快 。 

(2) 压缩 。 对 于 任意 给 定 的 输入 zx, 都 会 输出 固定 长 度 的 y= 二 H(zx), 且 yy 要 比 x 小 
得 多 。 
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(3) 单 向 性 。 对 于 给 定 的 任意 值 y. 寻 找 一 个 x+, 且 使 得 及 (x) 二 =y 在 计算 上 不 可 行 。 

(4) 弱 抗 碰撞 。 对 于 任意 给 定 的 x 入 (zx) ,寻找 >, 且 y 闫 x, 使 得 态 (x)==HH(y) 在 计 
算 上 不 可 行 。 

(5) 强 抗 碰撞 。 寻 找 任意 的 x 和 yy, 并 且 y 关 zx, 使 得 种 (zr) 二 HH(y) 在 计算 上 是 不 可 
行 的 。 

其 中 ,第 1 个 性 质 可 以 看 作 是 Hash 函数 用 作 报 文 鉴别 的 实际 应 用 需求 ,对 于 后 4 条 性 
质 , 是 针对 Hash 函数 在 应 用 中 的 安全 性 而 特别 提出 的 要 求 。 


2.7.3 报 文 鉴 别 的 一 般 实 现 方法 


Hash 函数 可 以 分 为 两 类 : 带 密 钥 的 Hash 函数 和 不 带 密 钥 的 Hash 函数 。 使 用 没有 密 
钥 的 Hash 码 作为 报 文 鉴别 码 的 体制 是 不 安全 的 ,容易 遭受 到 一 些 攻击 。 带 密 钥 的 Hash 函 
数 通 常 可 以 用 来 产生 报 文 的 鉴别 码 ,对 于 通信 双方 之 间 传 输 的 任何 消息 m, 用 带 密 钥 的 
Hash 函数 态 () 对 m 做 变换 ,产生 吾 (m) 作 为 MAC 附 于 报 文 m 之 后 ,保证 通信 双方 之 间 消 
息 的 完整 性 ,使 双方 之 间 的 消息 没有 被 第 三 方 算 改 或 伪造 。 常 用 的 报 文 鉴别 的 实现 需要 加 
密 技术 。 目 前 ,实际 应 用 的 报 文 鉴别 系统 的 具体 实现 过 程 如 下 所 示 。 

@ 发 送 方 和 接收 方 首先 要 确定 一 个 固定 长 度 的 报 文摘 要 HGm)。 

@ 发 送 方 通过 Hash 函数 将 要 发 送 的 报 文 z 嚼 碎 ? 为 报 文摘 要 五 (xm) 。 

@ 发 送 方 对 报 文摘 要 互 (mx) 进 行 加 密 ,得 到 密 文 Ei (HH(m))。 

@ 发 送 方 将 Ei,(H(m)) 追 加 到 报 文 m 后 面 发 送 给 接收 方 。 

@ 接收 方 在 成 功 接收 到 E,( 理 (m)) 和 报 文 m 后 , 先 对 E, (HH(m)) 进 行 解密 得 到 
甩 (m) ,然后 再 对 报 文 m 进行 同样 的 报 文摘 要 运算 得 到 报 文摘 要 H'(m)。 

@ 接收 方 对 于 (m) 和 HH' (Gm) 进行 比较 ,如 果 结 果 是 太 (m) 二 有 H'(m), 可 以 断定 收 到 的 
报 文 m 是 真实 的 。 否 则 报 文 m 在 传送 中 被 进行 了 算 改 或 伪造 。 

由 以 上 的 实现 过 程 可 以 看 出 ,不管 传输 的 报 文 m 有 多 大 ,其 报 文摘 要 五 (m) 是 不 变 的 。 
同时 ,系统 仅 对 报 文摘 要 互 (m) 进 行 加 密 和 解密 操作 , 报 文 m 是 以 明文 方式 传送 。 另 外 , 报 
文摘 要 算法 的 特点 也 很 简单 : 两 个 不 同 的 报 文 m 不 可 能 产生 同一 个 报 文摘 要 互 (m)。 所 
以 ,这 种 鉴别 方式 对 系统 的 要 求 较 低 ,很 适合 Internet 网 络 的 应 用 。 


2.7.4 报 文摘 要 MDS 


MD5 是 Ronald Rivest 设计 的 一 系列 消息 摘要 算法 中 的 第 5 个 算法 ,其 前 一 个 版 本 的 
算法 是 MD4。 在 RFC 1321 中 规定 的 报 文摘 要 MD5 算法 已 经 得 到 了 广泛 应 用 。MD5 算法 
的 特点 是 可 以 对 任意 长 度 的 报 文 进行 运算 ,得 到 的 报 文摘 要 长 度 均 为 128 位 。 

MD5 算法 的 输入 是 一 个 “ 字 节 串 ”( 而 非 * 字 符 串 ”) ,每 个 字 节 为 8 位 ,所 以 下 面 的 介绍 
以 字 节 为 单位 进行 说 明 。MD5 算法 的 原理 如 图 2-19 所 示 ,具体 过 程 如 下 。 

@ 填充 。MD5 算法 先 对 输入 的 数据 进行 填充 补 位 ,使 得 数据 的 长 度 (以 B 为 单位 ) 对 
64 求 余 的 结果 是 56。 即 数据 扩展 至 长 度 Len 一 kX64 十 56 ee & 为 正 整数 。 具 体 
填充 方法 为 : 第 一 个 位 是 1, 其 他 位 全 部 为 0, 直到 满足 上 述 要 求 。 这 一 步 总 共 补 充 的 字 节 
数 为 0 一 63 个。 

@ 添加 数据 长 度 。 用 一 个 8 字 节 (64 位 ) 的 整数 表示 数据 的 原始 长 度 , 将 这 个 数字 的 8 


Len=(k+1)X 64B 
一 kX64B 一 一 64B | 
填充 (0 一 63) 128 位 
| 
原始 数据 100…00 | 数据 长 度 
64B-—64B| | -64B-=| 一 64B-=| 
分 组 Mi | 分 组 Ms i 分 组 Mi | 分 组 Mi 
| 
CRT he ted + hone desk 上 人 edie rere t mcr hd 上 
1 
A A 人 
过 | 第 1 轮 广 盖 | 第 2 轮 斑 二 | 第 3 轮 谍 二 | 第 4 轮 昌 二 | 第 ! 轮 瞩 | 第 ? 轮 瞩 呈 第 3 轮 弓 导 第 4 轮 比 二 
= 轮 瞩 第? 轮 瞩 第 3 轮 上 FE | 瞩 = 第 ? 轮 瞩 | 第 3 轮 弓 第 wpe 
| 1 Me 让 
对 分 组 MI 的 循环 操作 对 分 组 Mi 的 循环 操作 


128 位 报 文摘 要 


图 2-19 MD5 算法 原理 


个 字 节 按 低 位 在 前 ,高 位 在 后 的 顺序 附加 在 “填充 ”位 后 的 “数据 长 度 " 后 面 。 这 时 ,整个 数据 
的 长 度 ; Len 二 kX64 十 56 十 8 二 (k 十 1) X64, 单 位 为 B。 

@ 初始 化 MD5 缓存 。 使 用 一 个 128 位 的 缓存 来 存放 该 Hash 函数 的 中 间 变 量 及 最 终 
结果 。 该 缓存 被 设置 为 由 4 个 32 位 的 寄存 器 (A、B、C 和 D) 组 成 。 这 4 个 寄存 器 变量 的 初 
始 值 如 下 (以 十 六 进 制 数 表示 的 数值 ) 。 

A: 01 23 45 67 

B: 89 ab cd ef 

C: fe dc ba 98 

D: 76 54 32 10 

@ 处 理 每 一 个 64 字 节 (512 位 ) 的 分 组 。 算 法 的 核心 是 一 个 包含 4 个 循环 的 压缩 函数 ， 
4 个 循环 有 相似 的 结构 ,但 每 一 次 循环 使 用 不 同 的 原始 逻辑 函数 F()\GC) HG 和 II()。 

F(X,Y,Z)=(X and Y)or(not(X)and Z) 

G(X,Y,Z)=(X and Z)or(Y and not(Z)) 

H(X,Y,2Z2)=X xor Y xor Z 

I(X,Y,2)=Y xor(X or not(Z)) 

其 中 ,X、Y.Z 为 32 位 整数 。and 表示 按 位 与 ,or 表示 按 位 或 ,not() 表 示 按 位 取 反 ,xor 
表示 按 位 异 或 。 

以 上 过 程 ,从 第 一 个 分 组 (Mi ) 开 始 ,每 一 个 分 组 都 要 执行 4 轮 操作 。 这 一 过 程 不 断 进 
行 ,直至 所 有 的 输入 分 组 ( 共 k 十 1 个 ) 都 被 执行 完毕 。 

@ 输出 报 文摘 要 。 所 有 十 1 个 以 64 字 节 为 单位 的 分 组 处 理 完成 后 ,最 后 产生 的 输出 
结果 便 是 128 位 的 报 文摘 要 。 

由 此 可 以 看 出 ,MD5 算法 中 每 一 个 输出 位 都 要 受到 每 一 个 输入 位 的 影响 ,所 以 MD5 可 
以 有 效 防止 消息 被 自 改 ,保证 了 消息 的 原始 性 和 完整 性 。 目 前 ,MD5 算法 已 经 较为 完善 ,大 
部 分 编程 语言 (环境 ) 都 提供 了 MD5 算法 的 实现 ,在 很 多 应 用 系统 中 MD5 已 被 确定 为 标准 
使 用 。 


数据 加 窗 技 术 及 应 用 


地 咏 如 


计算 帮 网 络 安 会 技术 


2.7.5 安全 散 列 算 法 


MD5 目前 的 应 用 已 经 很 广泛 。 另 一 个 应 用 较为 广泛 的 标准 是 由 美国 国家 标准 技术 委 
员 会 提出 的 安全 散 列 算法 (Secure Hash Algorithm,SHA)。 安 全 散 列 标准 (SHS) 于 1992 年 
1 月 31 日 在 美国 联邦 记录 中 公布 ,1993 年 5 月 11 日 起 作为 标准 。1995 年 4 月 17 日 公布 了 
修改 后 的 版 本 。SHA 是 用 于 SHS 的 算法 。 

SHA 与 MD5 在 总 体 实现 思路 上 很 相似 ,也 是 以 任意 长 度 的 报 文 作为 输入 ,并 按 512 位 
长 度 的 数据 块 进行 处 理 。 实 际 上 ,SHA 是 MD4 的 一 种 变形 。SHA 与 MD5 的 主要 区 别 
如 下 。 

(1) SHA 产生 的 报 文摘 要 长 度 为 160 位 ,而 MD5 为 128 位 。 

(2) SHA 每 轮 有 20 步 操 作 运 算 , 而 MD5 仅 有 4 轮 。 

(3) 所 使 用 的 运算 函数 不 同 。 

SHA 比 MD5 更 安全 ,但 SHA 对 系统 的 要 求 较 高 。 目 前 较 新 的 版 本 为 SHA-1。 


2.8 密 钥 的 管理 


在 加 密 技 术 中 ,加密 算法 是 公开 的 ,而 产生 的 密 钥 却 要 进行 安全 管理 。 密 钥 管理 包括 密 
钥 的 产生 、 分 配 、 使 用 和 验证 等 环节 ,其 中 密 钥 的 分 配 和 维护 是 非常 重要 的 。 


2.8.1 对 称 加 密 系统 中 的 密 钥 管理 


对 称 加 密 的 一 个 缺点 是 密 钥 分 配 和 管理 非常 复杂 。 对 于 每 个 加 密 设 备 ,都 需要 使 用 单 
独 的 密 钥 ,这 时 如 果 这 个 加 密 设备 有 多 个 联系 对 象 , 每 个 联系 对 象 都 必须 拥有 一 个 密 钥 。 这 
时 ,就 需要 采取 一 定 的 方法 将 密 钥 分 配给 每 一 个 联系 对 象 。 很 显然 ,不 管 是 采取 人 工 方式 还 
是 网 络 分 发 (如 通过 加 密 的 邮件 进行 群发 ) 方 式 , 所 涉及 的 安全 问题 都 是 很 明显 的 。 

美国 麻 省 理工 学 院 开发 了 著名 的 密 钥 分 配 站 
协议 Kerberos。Kerberos 协议 通过 使 用 密 钥 
管理 中 心 (Key Distribution Center, KDC) 来 分 时 一 
配 和 管理 密 钥 。 图 2-20 所 示 的 是 利用 KDC 进 人 、@xiypy 
行 密 钥 管理 的 一 种 实施 方案 ,用 户 A 和 B 都 是 
KDC 的 注册 用 户 , 注 册 密 钥 分 别 为 K。 和 K,， 用 户 B 
密 钥 分 配 需要 三 个 步 又 (图 中 分 别 用 DO.@ 和 @@ 图 2.20。 利用 KDC 管理 密 铀 的 一 种 方案 
表示 ) 。 

中 用 户 A 向 KDC 发 送 用 自己 的 注册 密 钥 K。 加密 的 报 文 玉 。(A,B) ,告诉 KDC 希望 
与 用 户 B 建立 通信 关系 。 

@ KDC 随机 地 产生 一 个 临时 密 钥 R, ,供用 户 A 和 B 在 本 次 通信 中 使 用 。 然 后 向 A 发 
送 应 答 报 文 , 报 文中 包括 KDC 分 配 的 临时 密 钥 R, 和 KDC 请 A 转 给 B 的 报 文 K, (A.,R,)。 
此 报 文 再 用 A 自己 的 注册 密 钥 K。 进行 加 密 ( 因 为 是 对 称 加 密 )。 需 要 说 明 的 是 ,虽然 KDC 
向 A 发 送 了 用 BB 的 注册 密 钥 加 密 的 报 文 K,(A,R,), 但 由 于 A 并 没有 B 的 注册 密 钥 ,所 以 
A 根本 无 法 知道 明文 的 内 容 。 


©@KARn KA,R)) 


@ 用 户 B 收 到 A 转 来 的 报 文 K,(A,R,) 时 ,一 方面 知道 A 要 与 自己 通信 , 另 一 方面 知 
道 本 次 通信 中 使 用 的 密 钥 是 R,。 

此 后 ,用 户 A 与 B 之 间 就 可 以 利用 密 钥 R, 进行 通信 了 。 由 此 可 以 看 出 ,KDC 每 次 分 
配给 用 户 的 对 称 密 钥 是 随机 的 ,所 以 保密 性 较 高 。 另 外 ,KDC 分 配给 每 个 注册 用 户 的 密 钥 
(如 K。、Ks 等 ) 都 可 以 定期 更 新 ,以 增加 系统 的 安全 性 。 


2.8.2 非 对 称 加 密 系 统 中 的 密 钥 管理 


在 非 对 称 加 密 系统 中 ,如 果 某 一 用 户 知道 其 他 用 户 的 公开 密 钥 就 可 以 实现 安全 通信 。 
在 非 对 称 加 密 系 统 中 为 了 实现 对 密 钥 的 管理 ,一 般 可 通过 一 个 值得 依赖 的 第 三 方 来 完成 ,这 
个 第 三 方 机 构 称 为 认证 中 心 (Certification Authority,CA)。CA 负责 证 明 所 有 成 员 的 身份 ， 
每 个 实体 (人 或 设备 ) 都 可 以 通过 一 定 的 方式 在 CA 中 申请 证 书 (certificate)。 

目前 使 用 的 证 书 标准 为 ITU 制定 的 X. 5093 ,许多 政府 机 关 和 公司 在 从 事 CA 证 书 的 
分 配 和 管理 工作 。 对 于 学 校 或 企业 用 户 来 说 ,也 可 以 在 内 部 网 络 中 创建 自己 的 CA。 例如 ， 
Windows Server 2003 等 操作 系统 就 提供 了 CA 功能 。 

有 关 非 对 称 加 密 系统 中 密 钥 管理 的 详细 内 容 将 在 本 书 的 第 3 章 进行 详细 介绍 。 


习 题 


2-1 在 现代 通信 中 ,为 什么 要 使 用 数据 加 密 技术 ? 

2-2 名称 解释 : 数据 加 密 、 对 称 加 密 和 非 对 称 加 密 .序列 密码 和 分 组 密码 .软件 加 密 和 
硬件 加 密 。 

2-3 以 * 恺 撤 密码 ”为 例 ,说 明 简单 替换 密码 在 古典 密码 学 应 用 上 的 作用 。 

2-4 ”什么 是 “一 次 一 密 ” 密 码 ? 举例 说 明 其 应 用 特点 。 

2-5 ”以 A5/1 为 例 ,介绍 流 密码 的 工作 原理 。 

2-6 介绍 Feistel 密码 结构 的 工作 原理 。 

2-7 联系 Feistel 密码 结构 ,分 别 介绍 DES、3DES 和 AES 的 算法 特点 。 

2-8 与 对 称 加 密 相 比 , 非 对称 加 密 在 实现 原理 和 应 用 上 有 哪些 特点 ? 

2-9 介绍 RSA 算法 的 工作 原理 。 


2-10 什么 是 数字 签名 ? 在 对 称 加 密 方式 和 非 对 称 加 密 方 式 中 分 别 是 如 何 实现 的 ? 有 
何 特 点 ? 

2-11 什么 是 报 文 鉴别 ? Hash 函数 在 报 文 鉴别 的 实现 上 有 何 特点 ? 

2-12 介绍 报 文 鉴别 的 一 般 实现 方法 ,并 分 析 其 报 文 的 原始 性 和 完整 性 是 如 何 实 现 的 。 

2-13 介绍 MD5 算法 的 工作 原理 。 

2-14 与 MD5 相 比 ,SHA 有 何 特点 ? 

2-15 在 数据 加 密 中 , 密 钥 管理 有 哪些 重要 性 ? 

2-16 ”分 别 介 绍 对 称 加 密 和 非 对 称 加 密 系统 中 密 钥 管理 的 特点 和 实现 方法 。 


数据 加 穿 技 术 及 应 用 
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第 3 章 PKI/PMI 技术 及 应 用 


随 着 公 钥 加 密 技术 在 网 络 安全 领域 的 应 用 ,以 提供 身份 认证 ,数据 完整 性 和 消息 保密 性 
等 安全 服务 为 核心 的 公 钥 基础 设施 (Public Key Infrastructure,PKI) 已 成 为 在 网 络 环境 中 
为 各 类 应 用 提供 安全 支撑 的 重要 技术 ,而 基于 角色 的 访问 控制 (Role Based Access Control， 
RBAC) 技 术 是 在 PKI 基础 上 发 展 起 来 的 。 授权 管理 基础 设施 (Privilege Management 
Infrastructure,PMT) 则 为 网 络 环境 中 的 各 类 应 用 提供 了 统一 的 授权 管理 和 访问 控制 策略 与 
机 制 。 概 括 地 讲 ,PKI 证 明 用 户 是 谁 ,而 PMI 证明 这 个 用 户 有 什么 权限 ,能 干什么 ,而 且 
PMI 需要 PKI 为 其 提供 身份 认证 。 本 章 在 第 2 章 的 基础 上 ,将 系统 介绍 PKI 和 PMI 的 基 
本 概念 、 功 能 和 应 用 特点 ,使 读者 更 加 深入 地 掌握 系统 安全 的 相关 技术 和 方法 。 


3.1 PKI 概 述 


PKI 是 在 公开 密 钥 的 理论 和 技术 基础 上 发 展 起 来 的 安全 技术 , 它 是 一 个 为 用 户 提供 数 
据 加 密 ,数字 签名 等 安全 应 用 中 所 需要 的 密 钥 和 证 书 的 综合 基础 平台 ,是 信息 安全 基础 设施 
的 一 个 重要 组 成 部 分 。 


3.1.1 PKI 的 概念 


公 钥 基础 设施 是 利用 密码 学 中 的 公 钥 概念 和 加 密 技术 为 网 上 通信 提供 的 符合 标准 的 一 
整套 安全 基础 平台 。PKI 能 为 各 种 不 同安 全 需求 的 用 户 提 供 各 种 不 同 的 网 上 安全 服务 所 需 
要 的 密 钥 和 证 书 ,这 些 安全 服务 主要 包括 身份 识别 与 鉴别 (认证 ) .数据 保密 性 .数据 完整 性 、 
不 可 否认 性 及 时 间 截 服务 等 ,从 而 达到 保证 网 上 传递 信息 的 安全 、 真 实 、 完 整 和 不 可 抵赖 的 
目的 。 利 用 PKI 可 以 方便 地 建立 和 维护 一 个 可 信 的 网 络 应 用 环境 ,从 而 使 得 人 们 在 这 个 无 
法 直接 相互 面 对 的 环境 里 ,能 够 确认 彼此 的 身份 和 所 交换 的 信息 ,能 够 安全 地 从 事 各 种 
活动 。 

PKI 的 技术 基础 之 一 是 公开 密 钥 体 制 。 因 为 在 公开 密 钥 体制 中 加 密 密 钥 和 解密 密 钥 各 
不 相同 ,信息 的 发 送 者 利用 接收 者 的 公开 密 钥 对 信息 进行 加 密 ,接收 者 再 利用 自己 的 私有 密 
钥 进行 解密 。 这 种 方式 既 保证 了 信息 的 机 密 性 ,又 能 保证 信息 的 不 可 抵赖 性 。 

PKI 的 技术 基础 之 二 是 加 密 机 制 。 在 PKI 中 ,所 有 在 网 络 中 传输 的 信息 都 是 经 过 加 密 
处 理 的 。 为 此 ,加 密 算 法 的 可 靠 性 决定 了 PKI 系统 的 可 靠 性 ,加 密 系 统 的 效率 决定 了 PKI 
系统 的 效率 。 

此 ,从 技术 上 讲 ,PKI 可 以 作为 支持 认证 、 完 整 性 ,机 密 性 和 不 可 否认 性 的 技术 基础 ， 
从 技术 上 解决 网 上 身份 认证 ,信息 完整 性 和 不 可 抵赖 等 安全 问题 ,为 网 络 应 用 提供 可 靠 的 安 


全 保障 。 然 而 ,PKI 绝 不 只 涉及 到 技术 层面 的 问题 ,还 要 涉及 到 电子 政务 .电子 商务 以 及 国 
家 信息 化 的 基础 设施 ,是 相关 技术 、 应 用 、 组 织 、 规 范 和 法 律 的 总 和 ,是 一 个 综合 各 方面 因素 
的 宏观 体系 。 


3.1.2 PKI 与 网 络 安全 


随 着 以 计算 机 网 络 为 基础 的 现代 信息 技术 的 发 展 , 电 子 政务 .电子 商务 等 网 上 电子 业务 
已 被 人 们 所 接受 ,并 得 到 不 断 普及 。 在 网 上 电子 业务 的 活动 中 ,一 方面 需要 确认 双方 的 合法 
身份 ,防止 出 现 虚 假 身份 ; 另 一 方面 必须 保证 业务 信息 的 安全 性 ,防止 信息 被 窃取 。 同 时 ， 
一 且 发 生 纠纷 ,必须 能 够 提供 充足 的 证 据 以 供 仲裁 。 所 以 ,要 推动 电子 业务 活动 的 正常 运 
行 ,就 必须 从 技术 上 实现 身份 认证 和 安全 传输 ,保证 服务 的 权威 性 ,不 可 否认 性 和 数据 的 完 
整 性 。 

在 网 上 电子 业务 活动 中 需要 确定 可 依赖 的 身份 ,因为 仅仅 拥有 一 对 公 钥 和 私 钥 是 不 足 
以 确立 一 个 可 依赖 的 身份 认证 的 。 如 果 要 在 计算 机 网 络 中 创建 一 个 与 传统 纸 上 交 易 等 效 的 
环境 ,还 需要 一 套 公 钥 基 础 设施 的 支持 ,具体 要 求 如 下 。 

(1) 安全 策略 ,以 规定 加 密 系统 在 何 种 规则 下 运行 。 

(2) 产生 ,存储 和 管理 密 钥 的 产品 。 

(3) 如 何 产生 、 分 发 .使 用 密 钥 和 证 书 的 一 整套 过 程 。 

PKI 提供 了 一 个 安全 框架 ,使 各 类 构件 .应 用 和 策略 组 合 起 来 为 网 络 环境 中 的 相关 活动 
提供 以 下 的 安全 功能 。 

。 保密 性 。 保 证 信息 的 私有 性 。 

。 完整 性 。 保 证 信息 没有 被 算 改 。 

。 真实 性 。 证 明 一 个 人 或 一 个 应 用 的 身份 。 

。 不 可 否认 性 。 保 证 信息 不 能 被 否认 。 

在 实现 方式 上 ,PKI 支持 SSL IP over VPN 和 SPMIME 等 协议 ,这 使 得 PKI 可 以 支持 
Web 加 密 、VPN 和 安全 邮件 等 应 用 。 而 且 ,PKI 支持 不 同 CA 间 的 交叉 认证 ,并 能 实现 证 
书 、 密 钥 对 的 自动 更 换 。 一 个 完整 的 PKI 产品 除 主要 功能 外 ,还 包括 交叉 认证 .支持 LDAP 
协议 及 支持 用 于 认证 的 智能 卡 等 功能 。 基 于 PKI 技术 的 IPSec 协议 现在 已 经 成 为 架构 
VPN 的 基础 ,可 以 为 路 由 器 之 间 、 防 火 墙 之 间或 者 路 由 器 和 防火 墙 之 间 提 供 经 过 加 密 和 认 
证 的 通信 。 另 外 ,安全 电子 邮件 协议 (SPMIME) 也 采用 了 PKI 数字 签名 技术 并 支持 消息 和 
附件 的 加 密 ,无 须 收发 双方 使 用 相同 的 密 钥 。 同 时 ,在 网 络 资源 的 安全 访问 .身份 认证 等 系 
统 中 ,PKI 提供 了 所 需 的 安全 支撑 。 

PKI 机 制 的 主要 思想 是 通过 公 钥 证 书 对 某 些 行为 进行 授权 ,其 目标 是 可 以 根据 管理 者 
的 安全 策略 建立 起 一 个 分 布 式 的 安全 体系 。PKI 的 核心 是 要 解决 网 络 环境 中 的 信任 问题 ， 
确定 网 络 环境 中 行为 主体 (包括 个 人 和 组 织 ) 身 份 的 唯一 性 、 真 实 性 和 合法 性 ,保护 行为 主体 
合法 的 安全 利益 。 

作为 提供 信息 安全 服务 的 公共 基础 设施 ,PKI 已 成 为 世界 各 国共 同 采 用 的 最 佳 的 安全 
体系 。 在 我 国 ,已 在 金融 ,政府 和 电信 等 部 门 建立 了 大 量 的 PKI 认证 服务 中 心 , 在 此 基础 上 
正在 加 强 系统 之 间 部门 之 间 以 及 国家 之 间 PKI 体系 的 互联 互通 ,提供 更 广泛 .更 权威 的 网 
络 安全 认证 服务 。 
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3.1.3 PKI 的 组 成 


一 个 典型 的 PKI 的 组 成 如 图 3-1 所 示 , 其 中 包括 PKI 安全 策略 、 软 硬件 系统 、 认 证 机 
构 .注册 机 构 .证 书 发 布 系统 和 PKI 应 用 等 。 


1 1 
! (PKI 安 全 策略 ] 。。【 软 硬件 系统 】 | 
| (认证 机 构 】 (注册 机 构 】 (证 书 发 布 系统 ] ! 
| 和 1 
| 1 


图 3-1 PKI 的 组 成 示意 图 


1. PKI 安全 策略 

PKI 安全 的 策略 创建 并 定义 了 一 个 用 于 实施 信息 安全 的 策略 ,同时 也 定义 了 密码 系统 
的 使 用 方法 和 原则 。 一 般 情况 下 ,在 PKI 中 有 两 种 类 型 的 策略 : 一 是 证 书 策略 ,用 于 管理 证 
书 的 使 用 ,例如 确认 某 一 CA 是 在 Internet 上 的 公有 CA 还 是 某 一 企业 内 部 的 私有 CA; 男 
一 种 是 CPS(Certificate Practice Statement ,认证 操作 管理 规范 ) 。 一 些 由 商业 证 书 发 放 机 
构 (CCA) 或 者 可 信任 的 第 三 方 管理 的 PKI 系统 需要 CPS。PKI 安全 策略 如 下 。 

(1) CA 的 创建 和 运作 方式 。 

(2) 证 书 的 申请 发行. 接收 和 废除 方式 。 

(3) 密 钥 的 产生 、 申 请、 存储 和 使 用 方式 。 

2. 认证 机 构 

认证 机 构 (Certificate Authority,CA) 也 称 为 “认证 中 心 ”, 它 是 PKI 的 信任 基础 , 它 管 
理 公 钥 的 整个 生命 周期 ,其 作用 包括 发 放 证 书 、 规 定 证 书 的 有 效 期 和 通过 发 布 证 书 废除 列表 
(CRL) ,确保 必要 时 可 以 废除 证 书 。CA 必须 是 各 行业 、 各 部 门 及 公众 共同 信任 的 ,认可 的 、 
权威 的 ,不 参与 交易 的 第 三 方 网 上 身份 认证 机 构 。CA 制定 了 一 些 规 则 ,这 些 规则 可 以 使 申 
请 和 使 用 证 书 的 用 户 确信 该 CA 是 可 以 依赖 的 。 描 述 CA 在 各 方面 受 约束 的 情况 及 运作 方 
式 的 规则 都 被 定义 在 CPS 中 ,CPS 最 初 是 由 美国 律师 协会 在 其 数字 签名 指南 (Digital 
Signature Guidelines) 中 提出 来 的 。 管 理 证 书 的 CA 必须 将 其 认证 操作 管理 规范 在 用 户 申 
请 证 书 时 以 方便 用 户 查阅 的 方式 提供 给 用 户 , 以 便 用 户 查阅 ,由 用 户 确定 是 否 需 要 在 该 CA 
申请 数字 证 书 。 如 果 一 个 CA 没有 CPS ,那么 人 们 就 很 可 能 会 怀疑 该 CA 的 真实 性 ,并 降低 
对 该 CA 所 颁发 的 数字 证 书 的 信任 程度 。 本 章 随后 将 会 对 CA 进行 详细 介绍 。 

3. 注册 机 构 

注册 机 构 (Registered Authority,RA) 提 供用 户 和 CA 之 间 的 一 个 接口 , 它 获 取 并 认证 
用 户 的 身份 ,向 CA 提出 证 书 请 求 。RA 主要 完成 收集 用 户 信息 和 确认 用 户 身 份 的 功能 。 
这 里 指 的 用 户 ,是 指向 CA 申请 数字 证 书 的 客户 ,可 以 是 个 人 、 组 织 或 政府 机 构 等 。 注 册 管 
理 一 般 由 一 个 独立 的 RA 来 承担 。 它 接受 用 户 的 注册 申请 ,审查 用 户 的 申请 资格 ,并 决定 是 


和 否 同意 CA 给 其 签发 数字 证 书 。 

需要 说 明 的 是 ,RA 并 不 给 用 户 签发 证 书 , 而 只 是 对 用 户 进行 资格 审查 。 因 此 ,RA 可 以 
设置 在 直接 面 对 客 户 的 业务 部 门 , 如 银行 的 营业 部 、 机 构 认 证 部 门 等 。 当 然 , 对 于 一 个 规模 
较 小 的 PKI 应 用 系统 来 说 ,可 将 注册 管理 的 职能 由 认证 中 心 CA 来 完成 ,而 不 设立 独立 运 
行 的 RA。 但 这 并 不 是 取消 了 PKI 的 注册 功能 ,而 只 是 将 其 作为 CA 的 一 项 功能 而 已 。PKI 
国际 标准 推荐 由 一 个 独立 的 RA 来 完成 注册 管理 的 任务 ,以 增强 应 用 系统 的 安全 性 。 

4. 证 书 发 布 系 统 

证 书 发 布 系统 负责 证 书 的 发 放 。 目 前 一 般 要 求证 书 发 布 系统 可 以 Web 方式 与 
Internet 用 户 交 互 ,用 于 处 理 在 线 证 书 业 务 ,方便 用 户 对 证 书 进 行 申 请 .下 载 ,查询 .注销 和 
恢复 等 操作 。 

5. PKI 应 用 

PKI 的 应 用 非常 广泛 ,包括 在 Web 服务 器 和 浏览 器 之 间 的 通信 、 电 子 邮 件 、 电 子 数据 交 
换 (Electronic Data Interchange,EDI) 在 Internet 上 的 信用 卡 交易 和 虚拟 专用 网 (Virtual 
Private Network,VPN) 等 。 同 时 , 随 着 以 Internet 为 主 的 计算 机 网 络 的 发 展 ,新 的 PKI 的 
应 用 也 在 不 断 出 现 和 发 展 。 

另外 ,为 了 为 应 用 程序 提供 PKI 服务 ,在 PKI 系统 的 组 成 中 还 应 有 PKI 应 用 接口 。 
PKI 应 用 接口 是 通过 PKI 的 协议 标准 规范 PKI 系 统 各 部 分 之 间 相 互通 信 的 格式 和 步骤 。 
而 API(Application Programming Interfaces ,应 用 程序 接口 ) 则 定义 了 如 何 使 用 这 些 协 议 ， 
并 为 上 层 应 用 提供 PKI 服务 。 当 应 用 程序 需要 使 用 PKI 服务 ,如 获取 某 一 用 户 的 公 钥 .请 
求证 书 撤销 信息 或 请 求证 书 时 ,将 会 用 到 API。 目 前 API 没有 统一 的 国际 标准 ,大 部 分 都 
是 操作 系统 或 某 一 公司 产品 的 扩展 ,并 在 其 产品 应 用 的 框架 内 提供 PKI 服务 。 

一 个 简单 的 PKI 系统 包括 CA、RA 和 相应 的 PKI 存储 库 。CA 用 于 签发 并 管理 证 书 ; 
RA 可 作为 CA 的 一 部 分 ,也 可 以 独立 ,其 功能 包括 个 人 身份 审核 .CRL 管理 、 密 钥 产 生 和 密 
钥 对 备份 等 ; PKI 存储 库 包 括 LDAP(Light Directory Access Protocol, 轻 型 目录 访问 协议 ) 
目录 服务 器 和 普通 数据 库 , 用 于 对 用 户 申请 信息 、 证 书 、 密 钥 ,.CRL 和 日 志 等 信息 进行 存储 
和 管理 ,并 提供 一 定 的 查询 功能 。 


3.2 认证 机 构 


PKI 系统 的 关键 是 如 何 实现 对 密 钥 的 安全 管理 。 公 开 密 钥 机 制 涉及 公 钥 和 私 钥 , 私 钥 
由 用 户 自己 保存 ,而 公 钥 在 一 定 范围 内 是 公开 的 ,需要 通过 网 络 来 传输 。 所 以 ,公开 密 钥 体 
制 的 密 钥 管理 主要 是 对 公 钥 的 管理 ,目前 较 好 的 解决 方法 是 采用 大 家 共同 信任 的 认证 机 构 。 


3.2.1 CA 的 概念 


认证 机 构 是 整个 网 上 电子 交易 等 安全 活动 的 关键 环节 ,主要 负责 产生 分配 并 管理 所 有 
参与 网 上 安全 活动 的 实体 所 需 的 数字 证 书 。 在 公开 密 钥 体制 中 ,数字 证 书 是 一 种 存储 和 管 
理 密 钥 的 文件 。 它 是 一 种 采用 特定 格式 的 具有 权威 性 的 电子 文档 ,其 主要 作用 是 证 明证 书 
中 列 出 的 用 户 名 称 与 证 书 中 列 出 的 公开 密 钥 相对 应 ,并 且 所 有 信息 都 是 合法 的 。 如 果 要 验 
证 其 合法 性 ,就 必须 要 有 一 个 可 信任 的 主体 对 用 户 的 证 书 进行 公证 ,证 明 主 体 的 身份 及 与 公 
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钥 之 间 的 对 应 关系 ,CA 便 是 这 样 的 一 个 管理 和 能 够 提供 相关 证 明 的 机 构 。 

CA 是 一 个 具有 权威 性 、 可 信赖 性 和 公正 的 第 三 方 信 任 机 构 ,专门 解决 公开 密 钥 机 制 中 
公 钥 的 合法 性 问题 。CA 是 整个 PKI 系统 的 核心 ,负责 发 放 和 管理 数字 证 书 , 其 功能 类 似 于 
办 理 居民 身份 证 .出 入 境 护照 等 证 书 的 发 证 机 关 。 在 PKI 系统 中 ,CA 采用 公开 密 钥 机 制 ， 
专门 提供 网 络 身份 认证 服务 ,负责 签发 和 管理 数字 证 书 。 同 时 ,在 证 书 发 布 后 CA 还 负责 对 
证 书 进行 撤销 、 更 新 和 归档 等 管理 。 

由 此 可 见 ,CA 是 保证 电子 商务 、 电 子 政务 、 网 上 银行 和 网 上 证 券 等 安全 交易 的 权威 的 、 
可 信任 的 和 公正 的 第 三 方 机 构 , 是 PKI 系统 的 核心 。 

在 证 书 管理 的 角度 来 看 ,每 一 个 CA 的 功能 是 有 限 的 ,需要 按照 上 级 策略 认证 机 构 制 定 
的 策略 ,负责 具体 的 用 户 公 钥 证 书 的 签发 .生成 和 发 布 ,以 及 CRL 的 生成 和 发 布 等 职能 。 
CA 的 主要 职能 如 下 。 

(1) 制订 并 发 布 本 地 CA 策略 。 但 本 地 CA 策略 只 能 是 对 上 级 CA 策略 的 补充 ,而 不 能 
违背 。 
(2) 对 下 属 各 成 员 进行 身份 认证 和 鉴别 。 

(3) 发 布 本 CA 的 证 书 , 或 代替 上 级 CA 发 布 证 书 。 

(4) 产生 和 管理 下 属 成 员 证 书 。 

(5) 证 实 RA 的 证 书 申请 ,向 RA 返回 证 书 制作 的 确认 信息 ,或 返回 已 制作 好 的 证 书 。 
(6) 接收 和 认证 对 它 所 签发 的 证 书 的 撤销 申请 。 

(7) 产生 和 发 布 它 所 签发 的 证 书 和 CRL。 

(8) 保存 证 书信 息 .CRL 信息 、 审 计 信息 和 它 所 制订 的 策略 。 


3.2.2 CA 的 组 成 


一 个 典型 CA 系统 包括 安全 服务 器 .注册 机 构 .CA 服务 器 、LDAP 目录 服务 器 和 数据 库 
服务 器 等 ,如 图 3-2 所 示 。 


用 户 申请 六 ------------ 
1 1 
! 和 |1 家 
业务 受理 | 一 外 注册 机 构 | | 服 |K 一 | | 服 | [CA 服务 器 
' 1 
ER ' 
a 数据 库 服务 器 [LADP 目 录 服务 
证 书 下 载 或 查 认 
图 3-2 典型 CA 的 组 成 


1. 安全 服务 器 
安全 服务 器 是 面向 证 书 用 户 的 提供 安全 策略 管理 的 服务 器 ,该 服务 器 主要 用 于 提供 证 
书 申请 、 浏 览 ,证 书 撤销 列表 及 证 书 下 载 等 安全 服务 。 作 为 CA 系统 的 安全 保障 ,用 户 与 安 


全 服务 器 之 间 的 通信 一 般 采 取 SSL 加 密 方 式 ,但 不 需要 对 用 户 进行 身份 认证 。 

当 CA 颁发 了 证 书后 ,该 证 书 首先 交 给 安全 服务 器 。 用 户 一 般 从 安全 服务 器 上 获得 证 
书 , 然 后 用 户 与 各 类 服务 器 之 间 的 所 有 通信 ,包括 用 户 填 写 的 申请 信息 及 浏览 器 生成 的 公 钥 
均 以 安全 服务 器 的 密 钥 进 行 加 密 传输 。 只 有 安全 服务 器 利用 自己 的 私 钥 解 密 才能 得 到 明 
文 , 这 样 可 以 防止 其 他 人 通过 窃听 得 到 明文 。 从 而 保证 了 证 书 申请 和 传输 过 程 中 信息 的 安 
全 性 。 

2. CA 服务 器 

CA 服务 器 是 整个 认证 机 构 的 核心 ,负责 证 书 的 签发 。CA 首先 产生 自身 的 私 钥 和 公 
( 密 钥 长 度 至 少 为 1024 位 ) ,然后 生成 数字 证 书 ,并 且 将 数字 证 书 传输 给 安全 服务 器 。CA 
还 负责 为 操作 员 ,安全 服务 器 及 注册 机 构 服 务 器 生成 数字 证 书 。 安 全 服务 器 的 数字 证 书 和 
私 钥 也 需要 通过 安全 方式 传输 给 安全 服务 器 。CA 服务 器 中 存储 有 CA 的 私 钥 及 发 行 证 书 
的 脚本 文件 ,出 于 安全 的 考虑 ,应 将 CA 服务 器 与 其 他 服务 器 隔离 ,确保 认证 机 构 的 安全 。 

3. 注册 机 构 

注册 机 构 服 务 器 面向 注册 机 构 的 操作 员 ,在 CA 体系 结构 中 起 着 承上启下 的 作用 。 一 
方面 向 CA 转发 安全 服务 器 传输 过 来 的 证 书 申请 请 求 ; 另 一 方面 向 LDAP 目录 服务 器 和 安 
全 服务 器 转发 CA 颁发 的 数字 证 书 和 证 书 撤销 列表 。 

4. LDAP 目录 服务 器 

LDAP 目录 服务 器 提供 目录 浏览 服务 ,负责 将 注册 机 构 服 务 器 传输 过 来 的 用 户 信息 及 
数字 证 书 加 入 到 服务 器 上 。 这 样 其 他 用 户 通过 访问 LDAP 目录 服务 器 就 能 够 得 到 数字 
证 书 。 

s. 数据 库 服 务 器 

数据 库 服 务 器 是 认证 机 构 中 的 关键 组 成 部 分 ,用 于 认证 机 构 中 数据 (如 密 钥 和 用 户 信息 
等 ) 日 志 等 统计 信息 的 存储 和 管理 。 根 据 数据 库 技术 和 网 络 存储 技术 的 发 展 ,在 实际 应 用 
中 数据 库 系统 应 采取 多 种 安全 措施 (如 磁盘 阵列 、 双 机 备份 和 分 布 式 处 理 等 ) ,以 维护 数据 库 
系统 的 安全 性 、 稳 定性、 可 伸缩 性 和 高 效 性 。 


3.2.3 CA 之 间 的 信任 关系 


认证 机 构 用 于 创建 和 发 布 证 书 ,但 一 个 CA 一 般 仅 为 一 个 称 为 安全 域 (security 
domain) 的 有 限 群 体 发 放 证 书 。 每 个 CA 只 覆盖 一 定 的 作用 范围 ,不 同 的 用 户 群 体 往往 拥有 
各 自 不 同 的 CA。 在 X.509 规范 中 对 于 信任 的 定义 是 : 如 果实 体 A 认为 实体 B 会 严格 地 按 
照 A 对 它 的 期 望 那样 行动 ,就 说 A 信任 B。 信 任 关系 是 PKI 系统 中 的 重要 组 成 部 分 ,用 来 
研究 用 户 与 CA 的 信任 关系 以 及 CA 间 的 相互 信任 关系 。 

从 实际 应 用 来 看 ,不 同 的 组 织 或 单位 往往 具有 自己 的 PKI 系统 ,而 这 些 不 同 的 PKI 系 
统 之 间 又 需要 建立 彼此 之 间 的 联系 。 因 此 ,解决 单个 PKI 系统 中 用 户 与 CA 之 间 的 信任 问 
题 ,以 及 各 个 独立 PKI 系 统 间 的 交叉 信任 问题 就 显得 尤为 重要 。 

1. 单 CA 信任 模型 

如 图 3-3(a) 所 示 , 单 CA 信任 模型 是 最 基本 的 信任 模型 ,也 是 目前 许多 组 织 或 单位 在 
Intranet 中 普遍 使 用 的 一 种 模型 。 在 这 种 模型 中 ,整个 PKI 系统 只 有 一 个 CA, 该 CA 为 
PKI 中 的 所 有 终端 用 户 签发 和 管理 证 书 。PKI 中 的 所 有 终端 用 户 都 信任 这 个 CA。 每 个 证 
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书 路 径 都 起 始 于 该 CA 的 公 钥 ,该 CA 的 公 钥 成 为 PKI 系统 中 唯一 的 用 户 信任 节点 。 信 任 
节点 也 称 为 "认证 起 点 ?或 “信任 锚 ”(trust anchor) , 它 是 整个 PKI 系统 中 CA 的 根 。 
优点 : 容易 实现 ,易于 管理 ,只 需要 建立 一 个 根 CA, 所 有 的 用 户 都 能 实现 相互 认证 。 
缺点 : 不 易 扩展 ,无 法 满足 不 同 群体 用 户 的 需求 。 
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图 3-3 单 CA\ 层 次 和 分 布 式 信任 模型 


2. 层次 信任 模型 

层次 信任 模型 也 称 为 分 级 信任 模型 , 它 是 一 个 以 主 , 从 CA 关系 建立 的 分 级 PKI 结构 ， 
具体 结构 如 图 3-3(b) 所 示 。 层 次 信任 模型 是 典型 的 树 型 结构 , 树 根 为 根 CA ,是 整个 PKI 的 
信任 锚 , 所 有 实体 都 信任 它 。 树 枝 向 下 伸展 ,树叶 在 末端 ,代表 申请 和 使 用 证 书 的 终端 用 户 。 

作为 信任 锚 , 根 CA 通常 不 直接 为 终端 用 户 颁发 证 书 , 而 只 为 子 CA 颁发 证 书 。 在 根 
CA 下面 可 以 存在 多 层 子 CA , 子 CA 是 所 在 实体 集合 的 根 。 两 个 不 同 的 终端 用 户 进 行 交 互 
时 ,双方 都 提供 自己 的 证 书 和 数字 签名 ,通过 根 CA 来 对 证 书 进行 有 效 性 和 真实 性 的 认证 。 
信任 关系 是 单 向 的 , 即 上 级 CA 可 以 而 且 必 须 认 证 下 级 CA, 而 下 级 CA 不 能 认证 上 级 CA。 

基于 层次 信任 模型 的 PKI 系统 由 于 其 简单 的 结构 和 单 向 的 信任 关系 ,具有 以 下 的 


优点 。 
(1) 增加 新 的 子 CA 比较 容易 。 新 加 的 子 CA 可 以 直接 加 到 根 CA 下 面 ,也 可 以 加 到 某 
个 子 CA 下面 。 这 两 种 情况 都 很 方便 ,容易 实现 。 

(2) 证 书 路 径 由 于 其 单 向 性 ,所 以 容易 扩展 ,可 生成 从 终端 用 户 证 书 到 信任 锚 的 简单 明 
确 的 路 径 。 

(3) 证 书 短小 ,简单 。 因 为 用 户 可 以 根据 CA 在 PKI 中 的 位 置 来 确定 证 书 的 用 途 。 

层次 信任 模型 也 具有 如 下 缺点 (整个 PKI 系统 信任 单个 根 CA 是 导致 这 些 缺 点 的 根 
源 )。 

(1) 单个 CA 的 失败 会 影响 整个 PKI 系统 。 与 根 CA 的 距离 越 短 , 则 造成 的 影响 越 大 。 
另外 ,由 于 所 有 的 信任 都 集中 在 根 CA ,一 旦 根 CA 出 现 故障 ,将 导致 整个 PKI 系统 瘫痪 。 

(2) 创建 一 个 所 有 国家 、 地 区 组织 或 单位 都 信任 的 根 CA 存在 很 多 困难 。 

3. 分 布 式 信任 模型 

分 布 式 信任 模型 也 称 为 网 状 信任 模型 ,在 这 种 模型 中 CA 间 存 在 着 交叉 认证 ,如 图 3-3(c) 
所 示 。 如 果 任 何 两 个 CA 间 都 存在 着 交叉 认证 . 则 这 种 模型 就 成 为 严格 的 网 状 信任 模型 。 
与 在 PKI 系统 中 的 所 有 实体 都 信任 唯一 根 CA 的 层次 信任 模型 相反 ,网 状 信任 模型 把 信任 
分 散 到 两 个 或 更 多 个 CA 上 。 分布 式 信任 模型 的 优点 如 下 。 


(1) 具有 更 好 的 灵活 性 。 因 为 存在 多 个 信任 锚 , 所 以 单个 CA 安全 性 的 削弱 不 会 影响 
到 整个 PKI 系 统 。 

(2) 增加 新 的 CA 更 为 容易 。 当 一 个 组 织 想 要 整合 各 个 独立 开发 的 PKI 系统 时 ,这 种 
信任 方式 是 很 有 效 的 。 

(3) 系统 的 安全 性 较 高 。 

分 布 式 信任 模型 的 主要 缺点 是 路 径 发 现 比较 困难 。 从 终端 用 户 证 书 到 信任 锚 建 立 证 书 
的 路 径 是 不 确定 的 ,因为 存在 多 种 选择 ,使 得 路 径 发 现 比 较 困 难 。 

4. 桥 CA 信任 模型 

桥 CA 信任 模型 也 称 为 中 心 辐射 式 信任 模型 , 它 是 为 克服 层次 信任 模型 和 分 布 式 信任 
模型 的 缺点 而 设计 的 , 它 可 连接 不 同 的 PKI 系统 ,如 图 3-4 所 示 。 


er 
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图 3-4 桥 CA 信任 模型 


不 同 于 分 布 式 信任 模型 中 的 CA, 桥 CA 与 不 同 的 信任 域 ( 子 CA) 建 立 对 等 的 信任 关 
系 ,允许 用 户 保 持原 有 的 信任 锚 。 这些 关 系 被 结合 起 来 形成 信任 桥 , 使 得 来 自 不 同 信 任 域 的 
用 户 通过 桥 CA 相互 作用 。 其 中 , 桥 CA 不 是 一 个 树 形 结构 的 CA, 也 不 像 分 布 式 信 任 模型 
中 的 CA, 它 不 直接 向 用 户 颁发 证 书 。 桥 CA 只 是 一 个 单独 的 CA 而 非 信任 锚 , 根 CA 是 一 
个 信任 锚 。 桥 CA 与 不 同 的 信任 域 之 间 建 立 对 等 的 信任 关系 ,允许 用 户 保留 他 们 自己 的 原 
台 信 任 锚 。 

正如 在 网 络 中 所 使 用 的 Hub 一 样 , 任 何 结构 类 型 的 PKI 都 可 以 通过 桥 CA 连接 在 一 
起 ,实现 彼此 之 间 的 信任 ,每 一 个 单独 的 信任 域 都 可 以 通过 桥 CA 扩展 到 整个 PKI 系统 中 。 
桥 CA 模型 的 优点 如 下 。 

(1) 实用 性 强 。 该 模型 非常 符合 目前 证 书 管理 机 构 的 特点 。 

(2) 证 书 路 径 较 易 发 现 ,路 径 较 短 。 桥 CA 架构 的 PKI 比 起 具有 相同 数量 CA 分 布 式 
信任 模型 的 PKI 系统 ,具有 更 短 的 可 信任 路 径 。 

桥 CA 的 缺点 如 下 。 

(1) 证 书 路 径 的 有 效 发 现 和 确认 仍然 不 很 理想 。 因 为 基于 桥 CA 模型 的 PKI 系统 可 能 
会 包括 部 分 分 布 式 信 任 模型 。 

(2) 大 型 PKI 目录 的 互 操 作 性 仍 不 方便 。 

(3) 证 书 复杂 。 在 基于 桥 CA 信任 模型 的 PKI 系统 中 , 桥 CA 需要 利用 证 书信 息 来 限 
制 不 同 PKI 的 信任 关系 ,这 会 导致 证 书 的 处 理 更 为 复杂 。 

(4) 证 书 和 证 书 状 态 信 息 不 易 获 取 。 
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5. Web 信任 模型 

Web 信任 模型 构建 在 Web 浏览 器 的 基础 上 ,浏览 器 厂商 在 浏览 器 (如 Internet Explorer、 
Tencent Traveler、Mozilla Firefox 和 Opera 等 ) 中 内 置 了 多 个 根 CA ,每 个 根 CA 相互 间 是 
平行 的 ,浏览 器 用 户 同 时 信任 多 个 根 CA 并 把 这 些 根 CA 作为 自己 的 信任 锚 。 以 Internet 
Explorer 为 例 , 选 择 “ 工 具 ”>“Internet 选项 *- 盖 内容” 一 证书” 命令 ,在 打开 的 如 图 3-5 所 
示 的 “证 书 ” 对 话 框 中 就 会 看 到 Internet Explorer 的 信任 锚 。 
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图 3-5 Internet Explorer 的 信任 锚 


Web 信任 模型 表面 上 看 与 分 布 式 信任 模型 非常 相似 ,实际 上 它 更 接近 层次 信任 模型 。 
Web 信任 模型 通过 与 相关 域 进行 互 连 而 不 是 扩大 现 有 的 主体 群 ,来 使 用 户 实体 成 为 在 浏览 
器 中 所 给 出 的 所 有 域 的 依托 方 ,如 图 3-6 所 示 。 各 个 嵌入 的 根 CA( 如 图 3-5 所 示 ) 直 接 内 置 
在 各 个 浏览 器 软件 中 ,使 用 中 这 些 根 CA 不 会 显示 有 关 信 息 。 由 于 各 个 根 CA 是 浏览 器 
厂商 内 置 的 ,浏览 器 厂商 隐 含 认证 了 这 些 根 CA, 这 样 浏览 器 厂商 就 成 为 事实 上 隐 含 的 
根 CA。 

Web 信任 模型 的 优点 为 : 方便 简单 ,操作 性 强 , 对 终端 用 户 的 要 求 较 低 。 用 户 只 需 简单 
的 信任 嵌入 的 各 个 根 CA 即 可 ,尤其 适合 于 目前 在 Internet 和 Intranet 中 的 应 用 。 
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图 3-6 ”Web 信任 模型 


Web 信任 模型 的 缺点 如 下 。 

(1) 安全 性 较 差 。 如 果 这 些 根 CA 中 有 一 个 存在 安全 问题 ,即使 其 他 根 CA 仍然 值得 用 
户 信赖 ,安全 性 也 将 被 破坏 。 目 前 还 没有 有 效 可 行 的 机 制 来 撤销 嵌入 到 浏览 器 中 的 根 CA 
( 即 密 钥 ) 。 用 户 也 难于 查 出 到 底 哪 一 个 根 CA 存在 安全 问题 ,这 一 切 都 依赖 于 浏览 器 厂商 。 

(2) 根 CA 与 终端 用 户 信任 关系 模糊 。 终 端 用 户 与 嵌入 的 根 CA 间 交 互 十 分 困难 。 终 
端 用 户 可 在 不 同 的 站 点 得 到 不 同 的 浏览 器 ,他 很 难 知道 某 个 浏览 器 中 敌人 入 了 哪些 根 CA ,并 
且 用 户 一 般 不 可 能 对 证 书 颁发 有 足够 的 了 解 以 至 于 与 CA 直接 接触 。 同 样 , 骨 入 的 根 CA 
也 无 法 知道 和 确定 它 的 依托 方 是 谁 。 

(3) 根 CA 预先 安装 ,难以 扩展 。 

6. 以 用 户 为 中 心 的 信任 模型 

在 以 用 户 为 中 心 的 信任 模型 中 ,每 个 用 户 都 直接 决定 信赖 哪个 证 书 和 拒绝 哪个 证 书 。 
没有 可 信 的 第 三 方 作为 CA ,终端 用 户 就 是 自己 的 根 CA, 如 图 3-7 所 示 。 
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图 3-7 以 用 户 为 中 心 的 信任 模型 


以 用 户 为 中 心 的 信任 模型 的 优点 如 下 。 

(1) 安全 性 很 强 。 

(2) 用 户 可 控 性 很 强 。 用 户 可 自己 决定 是 否 信赖 某 个 证 书 。 也 就 是 说 ,每 个 用 户 可 以 
直接 和 独立 地 决定 信赖 哪个 证 书 和 拒绝 哪个 证 书 。 

以 用 户 为 中 心 的 信任 模型 的 缺点 如 下 。 

(1) 使 用 范围 较 窗 。 由 于 普通 用 户 很 少 关心 安全 方面 的 问题 ,也 缺乏 相应 的 安全 知识 ， 
将 发 放 和 管理 证 书 的 任务 交 给 用 户 在 许多 应 用 中 是 不 现实 的 。 

(2) 这 种 信任 模型 在 某 些 企业 金融 机 构 或 者 政府 机 关 的 网 络 环 境 中 是 不 适用 的 。 因 
为 在 这 些 群 体 中 ,往往 需要 以 组 织 的 方式 控制 一 些 公 钥 ,而 不 希望 完全 由 用 户 自己 控制 。 

表 3-1 对 前 面 介 绍 的 各 种 CA 信任 模型 的 特点 进行 了 描述 。 


表 3-1 各 种 CA 信任 模型 的 性 能 说 明 
信任 模型 实用 性 ”方便 性 ”可 扩展 性 ”安全 性 ”高效 性 。 灵活 性 ” 互 操作 性 应 用 范围 


单 CA 低 高 高 高 高 低 低 罕 
层次 中 高 高 高 高 低 高 罕 
分 布 式 中 低 低 高 低 高 高 广 
桥 CA 高 低 高 高 低 高 高 广 
Web 低 高 低 低 高 低 低 窄 
以 用 户 为 中 心 中 低 低 高 低 低 高 窗 
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击 避 恰 
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3.2.4 密 钥 管理 


密 钥 管理 也 是 PKI 系统 (主要 指 CA) 中 的 一 个 核心 问题 。 密 钥 管 理 主要 是 指 密 钥 对 的 
安全 管理 ,包括 密 钥 产生 、 密 钥 备 份 . 密 钥 恢 复 和 密 钥 更 新 等 。 

1. 密 钥 产生 

密 钥 对 的 产生 是 证 书 申请 过 程 中 重要 的 一 步 , 其 中 产生 的 私 钥 由 用 户 保留 , 公 钥 和 其 他 
信息 则 交 由 CA 中 心 进 行 签名 ,从 而 产生 证 书 。 根 据 证 书 类 型 和 应 用 的 不 同 , 密 钥 对 的 产生 
也 有 不 同 的 形式 和 方法 。 对 于 普通 用 户 证 书 , 一 般 由 浏览 器 或 固定 的 终端 应 用 程序 产生 ,这 
样 产生 的 密 钥 强度 较 小 ,不 适用 于 安全 要 求 较 高 的 领域 。 而 对 于 比较 重要 的 证 书 , 如 机 构 证 
书 (CA 证 书 、RA 证 书 ) 等 , 密 钥 对 一 般 由 专用 应 用 程序 或 CA 中 心 直 接 产生 ,这 样 产 生 的 密 
钥 强 度 大 ,适合 于 重要 的 应 用 场合 。 

另外 ,根据 密 钥 对 应 用 场合 的 不 同 , 也 可 能 会 有 不 同 的 产生 方式 。 例 如 签名 密 钥 可 能 在 
客户 端 或 RA 中 心 产生 ,而 加 密 密 钥 则 需要 在 CA 中 心 直 接 产生 。 

2. 密 钥 备 份 和 恢复 

在 一 个 PKI 系统 中 ,对 密 钥 对 的 安全 管理 非常 重要 ,其 中 备份 是 最 常用 到 的 一 种 方式 。 
如 果 没 有 安全 保障 , 当 密 钥 丢 失 后 ,将 意味 着 使 用 该 密 钥 加 密 的 数据 无 法 打开 ,对 于 一 些 重 
要 数据 ,这 将 是 灾难 性 的 事故 。 所 以 , 密 钥 的 备份 和 恢复 也 是 PKI 系统 中 非常 重要 的 一 个 
安全 环节 。 在 部 署 和 使 用 PKI 系 统 时 ,PKI 系 统 的 提供 者 必须 确保 即使 密 钥 丢失 , 受 密 角 
加 密 保 护 的 重要 信息 也 能 够 恢复 。 

企业 级 的 PKI 系统 至 少 应 该 提供 对 加 密 的 安全 密 钥 的 存储 、 备 份 和 恢复 。 密 钥 一 
般 用 口令 进行 保护 ,而 口令 丢失 则 是 管理 员 最 常见 的 安全 朴 漏 之 一 。 所 以 ,PKI 系 统 应 该 
能 够 备份 密 钥 ,即使 口令 丢失 , 它 也 能 够 让 用 户 在 一 定 条 件 下 恢复 该 密 钥 ,并 设置 新 的 
口令 。 

另外 ,使 用 PKI 系统 的 企业 也 应 该 考虑 所 使 用 密 钥 的 生命 周期 , 它 包 括 密 钥 和 证 书 的 
有 效 时 间 , 以 及 已 撤销 密 钥 和 证 书 的 归档 等 。 

3. 密 钥 更 新 

对 每 一 个 由 CA 颁发 的 证 书 都 会 存在 有 效 期 , 密 钥 对 生命 周期 的 长 短 由 签发 证 书 的 CA 
中 心 来 确定 ,每 一 个 CA 系统 所 颁发 的 证 书 的 有 效 期 限 有 所 不 同 , 一 般 为 2 一 3 年 。 当 用 户 
的 私 钥 被 泄漏 或 证 书 的 有 效 期 快 到 时 ,用 户 应 该 更 新 私 钥 。 


3.3 证 书 及 管理 


PKI 采用 证 书 管理 公 钥 ,通过 第 三 方 的 可 信任 机 构 CA 把 用 户 的 公 钥 和 用 户 的 其 他 标 
识 信息 捆绑 在 一 起 ,在 Internet 或 Intranet 上 验证 用 户 的 身份 。 数 字 证 书 的 管理 方式 在 
PKI 系统 中 起 着 关键 作用 。 


3.3.1 证 书 的 概念 


数字 证 书 也 称 为 数字 标识 (Digital Certificate, 或 Digital ID)。 它 提供 了 一 种 在 
Internet 等 公共 网 络 中 进行 身份 验证 的 方式 ,用 来 标识 和 证 明 网 络 通信 双方 身份 的 数字 信 


息 文 件 ,其 功能 与 驾驶 员 的 驾照 或 日 常生 活 中 的 身份 证 相似 。 数 字 证 书 由 一 个 权威 的 证 书 认证 
机 构 发 行 ,在 网 络 中 可 以 通过 从 CA 中 获得 的 数字 证 书 来 识别 对 方 的 身份 。 在 网 上 进行 电子 商务 
活动 时 ,交易 双方 需要 使 用 数字 证 书 来 表明 自己 的 身份 .并 使 用 数字 证 书 来 进行 有 关 交 易 操作 。 
例如 ,在 进行 网 上 银行 的 相关 操作 时 ,必须 安装 与 银行 账号 相对 应 的 数字 证 书 ,否则 系统 是 无 法 
完成 相关 操作 的 。 目 前 , 像 银行 等 单位 为 用 户 提供 的 数字 证 书 文 件 既 可 以 安装 在 用 户 的 计算 机 
中 ,也 可 以 保存 在 U 盘 等 存储 介质 中 。 例 如 ,在 现在 的 公安 专 网 中 ,每 一 个 民警 都 有 一 个 用 于 标 
识 自 己 身份 的 吕 盘 ,在 该 U 盘 中 保存 了 民警 自己 的 数字 证 书 , 每 个 民警 访问 网 络 的 权限 都 集中 
在 该 数字 证 书 中 。 通 俗 地 讲 , 数 字 证 书 就 是 个 人 或 单位 在 Internet 等 公共 网 络 上 的 身份 证 。 

比较 专业 的 数字 证 书 定义 是 : 数字 证 书 是 一 个 经 证 书 授权 中 心 数字 签名 的 包含 公开 密 
钥 拥 有 者 信息 及 公开 密 钥 的 文件 。 最 简单 的 证 书包 含 一 个 公开 密 钥 、 名 称 及 证 书 授权 中 心 
的 数字 签名 。 一 般 情 况 下 ,证书 中 还 包括 密 钥 的 有 效 时 间 ,发 证 机 关 ( 证 书 授权 中 心 ) 的 名 称 
及 该 证 书 的 序列 号 等 信息 ,证 书 的 格式 遵循 相关 国际 标准 。 

通过 数字 证 书 就 可 以 使 信息 传输 的 保密 性 ,数据 交换 的 完整 性 ,发送 信息 的 不 可 否认 人 性 
及 交易 者 身份 的 确定 性 这 四 大 网 络 安全 要 素 得 到 保障 。 


3.3.2 数字 证 书 的 格式 


在 Internet 和 Intranet 中 ,应 用 程序 使 用 的 证 书 都 来 自 不 同 的 厂商 或 组 织 , 为 了 实现 可 
交互 性 ,要 求证 书 能 够 被 不 同 的 系统 识别 ,符合 一 定 的 格式 ,并 实现 标准 化 。 目 前 有 X. 509、 
WTLS(Wireless Transport Layer Security ,无 线 传输 层 安 全 ) 和 PGP(Pretty Good Privacy。 
一 种 采用 公 钥 加 密 体 系 的 电子 邮件 加 密 软件 .) 等 多 种 数字 证 书 , 但 应 用 最 为 广泛 的 是 
X. 509,X. 509 为 数字 证 书 及 其 CRL 格式 提供 了 一 个 标准 。 

需要 说 明 的 是 ,X. 509 本 身 不 是 Internet 标准 ,而 是 ITU( 国 际 电信 联盟 ) 的 标准 , 它 定 
义 了 一 个 开放 的 框架 ,并 在 一 定 范 围 内 可 以 进行 扩展 。 为 了 提供 公用 网 络 用 户 目 录 信 息 服 
务 ,ITU 于 1988 年 制定 了 X. 500 系列 标准 。 其 中 X. 500 和 X. 509 是 安全 认证 系统 的 核 
心 。X. 500 定义 了 一 种 区 别 命名 规则 ,以 类 似 互 联网 中 DNS 的 命令 树 来 确保 用 户 名 称 的 唯 
一 性 ; 而 X. 509 则 为 X. 500 用 户 名 称 提供 了 通信 实体 鉴别 机 制 ,并 规定 了 实体 鉴别 过 程 中 
广泛 适用 的 证 书 语法 和 数据 接口 ,X. 509 称 为 证 书 。 

X. 509 目前 有 4 个 版 本 : X. 509 v1、v2、v3 和 v4。 其 中 ,X. 509 vl 提供 了 基于 X. 509 公 钥 
证 书 的 目录 访问 认证 协议 。1993 年 ITU 公布 了 X. 509 v2 ,其 中 增强 了 对 目录 访问 控制 和 鉴别 
的 支持 。 证 书 由 用 户 公 开 密 钥 和 用 户 标 识 符 组 成 。 此 外 还 包括 版 本 号 .证 书 序列 号 .CA 标识 符 、 
签名 算法 标识 ,签发 者 名 称 和 证 书 有 效 期 等 信息 。 还 定义 了 包含 扩展 信息 的 数字 证 书 , 该 版 数字 
证 书 提供 了 一 个 扩展 信息 字段 ,用 来 提供 更 多 的 灵活 性 及 特殊 应 用 环境 下 所 需 的 信息 传送 。 
1997 年 ,ISOVIEC(IEC 即 “International Electrotechnical Commission ,国际 电工 委员 会 ”,1947 年 
当 ISO 成 立时 IEC 并 入 ISO, 从 1976 年 开始 ,ISO 和 IEC 成 为 法 律 上 独立 的 两 个 组 织 。 其 中 ， 
IEC 负责 有 关 电 工 、. 电 子 领域 的 国际 标准 化 工作 ,其 他 领域 由 ISO 负责 .) 和 ANSI X9 开发 了 
X. 509 v3, 它 是 基于 公开 密 钥 证 书 的 目录 鉴别 协议 。v3 定义 的 公开 密 钥 证 书 协议 比 v2 证 书 协议 
增加 了 14 项 预 留 扩 展 域 ,例如 发 证 者 或 证 书 用 户 的 身份 标识 、 密 钥 标 识 、 用 户 或 公 钥 属 性 、 策 略 
(policy) 扩 展 等 ,同时 v3 对 CRL 结构 也 进行 了 扩展 。X. 509 v4(X. 509-2000) 于 2000 年 推出 ， 
v4 在 扩展 了 v3 的 同时 ,利用 属性 证 书 定义 了 PMI(Privilege Management Infrastructure, 特 权 管 
理 基 础 设施 ) 模 型 , 即 如何 利 用 PKLCA 对 用 户 访问 进行 授权 管理 。X. 509 证 书 的 通用 格式 如 
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证 书 版 本 号 图 3-8 所 示 , 每 一 个 组 成 域 的 功能 描述 如 下 。 
证 书 序列 号 (1) 证 书 版 本 号 (Version)。 指 明 X. 509 证 书 的 格 
签名 算法 标识 符 式 版 本 。0 表示 X. 509 v1 标准 ,1 表示 X. 509 v2 标准 ， 
i 依 此 类 推 。 目 前 最 新 的 版 本 为 X. 509 vA。 
实体 名 称 (2) 证 书 序列 号 (Serial Number)。 指 定 由 CA 分 配 
证 书 持 有 者 的 公开 密 钥 信息 给 证 书 的 唯一 数字 型 标识 符 。 当 证 书 被 取消 时 ,实际 上 
_ 颁发 者 唯一 标识 符 是 将 此 证 书 的 序列 号 放 入 由 CA 签发 的 CRL 中 ,这 也 是 
序列 号 唯一 的 原因 。 


(3) 签名 算法 标识 符 (Signature) 。 用 来 指定 由 CA 
签发 证 书 时 所 使 用 的 签名 算法 。 算 法 标识 符 用 来 指定 
CA 签发 证 书 时 所 使 用 的 公开 密 钥 算法 和 Hash 算法 , 须 向 国际 知名 标准 组 织 ( 如 ISO) 注 册 。 

(4) 颁发 机 构 名 (Issuer)。 此 域 用 来 标识 签发 证 书 的 CA 的 X. 500 DN 名 字 。 包 括 国 
家 、 省 市 .地 区 .组 织 机 构 . 单 位 部 门 和 通用 名 。 其 中 ,DN(Distinguished Name) 是 类 似 于 
DNS 名 称 服 务 方式 ,在 LDAP 中 目录 记录 的 标识 名 称 为 DN, 用 来 读 取 某 个 条 目 。 

(5) 有 效 期 (Validity)。 指 定 证 书 的 有 效 期 ,包括 证 书 开 始 生 效 的 日 期 和 时 间 , 以 及 失 
效 的 日 期 和 时 间 。 每 次 使 用 证 书 时 ,需要 检查 证 书 是 否 在 有 效 期 内 。 

(6) 实体 名 称 (Subject) 。 指 定 证 书 持 有 者 的 X. 500 唯一 名 字 。 包 括 国家 、 省 市 .地 区 、 
组 织 机 构 ,单位 部 门 和 通用 名 ,还 可 包含 E-mail 地 址 等 个 人 信息 。 

(7) 证 书 持 有 者 的 公开 密 钥 信息 (Subject Public Key Info)。 证 书 持 有 者 公开 密 钥 信息 
域 包含 两 个 重要 信息 : 证 书 持 有 者 的 公开 密 钥 的 值 和 公开 密 钥 使 用 的 算法 标识 符 。 此 标识 
符 包含 公开 密 钥 算法 和 Hash 算法 。 

(8) 颁发 者 唯一 标识 符 (Issuer Unique Identifier) 。 该 域 在 v2 中 开始 加 入 。 当 同一 个 
X. 500 名 字 用 于 多 个 认证 机 构 时 ,用 一 位 字符 串 来 唯一 标识 颁发 者 的 X. 500 名 字 。 该 域 为 
一 个 可 选项 。 

(9) 证 书 持 有 者 唯一 标识 符 (Subject Unique Identifier) 。 该 域 在 v2 中 开始 加 入 。 当 同 
一 个 X. 500 名 字 用 于 多 个 证 书 持 有 者 时 ,用 一 位 字符 串 来 唯一 标识 证 书 持 有 者 的 X. 500 名 
字 。 该 域 为 一 个 可 选项 。 

(10) 签名 值 (Issuer's Signature) 。 证 书 颁 发 机 构 对 证 书 上 述 内 容 的 签名 值 。 


3.3.3 证 书 申请 和 发 放 


证 书 的 申请 一 般 有 两 种 方式 : 在 线 申 请 和 离线 申请 。 其 中 ,在 线 申 请 就 是 用 户 登录 认 
证 机 构 的 相关 网 站 下 载 申 请 表格 ,然后 按 要 求 填写 内 容 。 或 通过 浏览 器 .电子 邮件 等 在 线 方 
式 来 申请 证 书 , 这 种 方式 一 般 用 于 申请 普通 用 户 证 书 。 离 线 方式 一 般 通过 人 工 的 方式 直接 
到 认证 机 构 证 书 受 理 点 办 理 证 书 申请 手续 ,通过 审核 后 获取 证 书 , 这 种 方式 一 般 用 于 比较 重 
要 的 场合 ,如 网 上 银行 的 在 线 支付 证 书 等 。 下 面 主 要 以 在 线 申请 方式 为 例 进行 介绍 ,申请 的 
步骤 如 下 。 

(1) 用 户 申 请 。 用 户 使 用 浏览 器 通过 Internet 或 Intranet 访问 安全 服务 器 ,下 载 CA 的 
数字 证 书 ,该 证 书 称 为 根 证 书 。 然 后 在 证 书 的 申请 过 程 中 使 用 SSL 安全 方式 与 服务 器 建立 
连接 ,用 户 填 写 个 人 信息 ,浏览 器 生成 私 钥 和 公 钥 对 ,将 私 钥 保 存在 客户 端的 特定 文件 中 ,并 


图 3-8 X.509 数字 证 书 的 基本 格式 


且 要 求 用 口令 保护 私 钥 ,同时 将 公 钥 和 个 人 信息 提交 给 安全 服务 器 。 安 全 服务 器 将 用 户 的 
申请 信息 传送 给 注册 机 构 服 务 器 。 

(2) 注册 机 构 审 核 。 用 户 与 注册 机 构 人 员 联 系 ,证 明 自 己 身份 的 真实 性 ,或 者 请 求 代理 
人 与 注册 机 构 联 系 。 注 册 机 构 操作 员 利 用 自己 的 浏览 器 与 注册 机 构 服务 器 建立 SSL 安全 
通信 ,该 服务 器 需要 对 操作 员 进 行 严格 的 身份 认证 ,包括 操作 员 的 数字 证 书 、IP 地 址 等 。 操 
作 员 首先 查看 目前 系统 中 的 申请 人 员 ,从 列表 中 找 出 相应 的 用 户 , 单 击 用户 名 ,核对 用 户 信 
息 , 并 且 可 以 进行 适当 的 修改 。 如 果 操 作 人 员 同 意 用 户 的 申请 证 书 请 求 , 必 须 对 证 书 申请 信 
息 进行 数字 签名 。 操 作 员 也 有 权利 拒绝 用 户 的 申请 。 操 作 员 与 服务 器 之 间 的 所 有 通信 都 采 
用 加 密 和 签名 方式 ,具有 安全 性 、 抗 抵赖 性 ,保证 了 系统 的 安全 性 和 有 效 性 。 

(3) CA 发 放 证 书 。 注 册 机 构 向 CA 传输 用 户 的 证 书 申请 与 操作 员 的 数字 签名 ,CA 操 
作 员 查看 用 户 的 详细 信息 ,并 且 验 证 注册 机 构 操 作 员 的 数字 签名 ,如 果 签 名 验证 通过 , 则 同 
意 用 户 的 证 书 请 求 ,发 放 该 证 书 。 然 后 CA 将 证 书 输出 。 如 果 CA 操作 员 发 现 签名 不 正确 ， 
则 拒绝 证 书 申请 。CA 发 放 的 数字 证 书 中 包含 以 下 主要 内 容 。 

@ 实体 (公开 密 钥 拥有 者 ,如 人 或 设备 ) 的 身份 ,包括 名 称 、 序 列 号 IP 地 址 和 单位 的 名 
称 等 ,以 及 其 他 用 以 识别 单个 用 户 或 网 络 设备 (如 主机 交换机、 防火 墙 和 路 由 器 等 ) 的 信息 。 

@ 该 实体 的 公开 密 钥 。 

@ 签发 该 证 书 的 CA 的 数字 签名 和 身份 。 

@ 证 书 的 有 效 期 。 

@ 证 书 的 级 别 (证 书 可 以 分 为 多 种 级 别 , 较 高 的 级 别 需要 注册 者 提供 更 详细 的 身份 
证 明 ) 。 

@ 证 书 ID 号 。 

(4) 注册 机 构 证 书 转发 。 注 册 机 构 操作 员 从 CA 服务 器 得 到 新 的 证 书 , 首 先 将 证 书 输 
出 到 LDAP 目录 服务 器 以 提供 目录 浏览 服务 ,然后 操作 员 向 用 户 发 送 一 封 电子 邮件 ,通知 
用 户 证 书 已 经 发 布 成 功 , 并 且 把 用 户 的 证 书 序列 号 告诉 用 户 ,要 求 用 户 到 指定 的 站 点 下 载 自 
己 的 数字 证 书 。 同 时 ,在 电子 邮件 中 会 告诉 用 户 如 何 使 用 安全 服务 器 上 的 LDAP 配置 ,让 
用 户 修改 浏览 器 的 客户 端 配 置 文件 以 便 访问 LDAP 服务 器 、 获 得 他 人 的 数字 证 书 等 。 

(5) 用 户 获 取证 书 。 一 般 情况 下 ,利用 在 线 方式 申请 证 书后 ,用 户 需 要 使 用 证 书 申请 时 
计算 机 上 的 浏览 器 到 指定 的 站 点 下 载 由 注册 机 构 转发 的 证 书 。 期 间 ,需要 输入 用 户 的 证 书 
序列 号 。 服 务 器 要 求 用 户 必须 使 用 申请 证 书 时 的 浏览 器 ,因为 浏览 器 需要 用 该 证 书 相应 的 
私 钥 去 验证 数字 证 书 。 只 有 保存 了 相应 私 钥 的 浏览 器 才能 成 功 下 载 用 户 的 数字 证 书 。 

这 时 用 户 打开 浏览 器 的 安全 属性 (如 图 3-5 所 示 ) ,就 可 以 发 现 自己 已 经 拥有 了 CA 颁 
发 的 数字 证 书 。 然 后 ,可 以 利用 该 数字 证 书 与 其 他 人 或 拥有 相同 CA 颁发 的 证 书 的 应 用 系 
统 使 用 加 密 .数字 签名 方式 进行 安全 通信 。 


3.3.4 证 书 撤销 


在 证 书 的 有 效 期 内 ,由 于 私 钥 丢失 或 证 书 持 有 者 解除 了 与 某 一 组 织 或 单位 的 关系 ,该 用 
户 所 使 用 的 数字 证 书 需要 撤销 。 证 书 的 撤销 操作 由 CA 完成 , 当 CA 接收 到 用 户 撤销 证 书 
的 申请 时 ,立即 执行 证 书 撤销 操作 ,同时 通知 用 户 证 书 的 撤销 情况 。 其 实 , 出 于 安全 考虑 ,在 
证 书 的 正常 使 用 中 , 当 用 户 每 次 使 用 证 书 时 系统 都 要 检查 用 户 的 证 书 是 否 合法 和 有 效 。 
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证 书 的 撤销 一 般 可 通过 两 种 方式 实现 : 一 种 是 利用 周期 性 发 布 机 制 , 主 要 有 证 书 撤销 
列表 (Certificate Revocation Lists,CRL); 另 一 种 是 利用 在 线 查询 机 制 ,如 在 线 证 书 状 态 协 
议 (Online Certificate Status Protocol,OCSP) 。 以 下 分 别 进行 介绍 。 

1. 利用 CRL 撤销 证 书 

证 书 撤销 列表 (又 称 证 书 黑 名单 ) 为 应 用 程序 和 其 他 系统 提供 了 一 种 检验 证 书 有 效 性 的 
方式 。 任 何 一 个 证 书 撤销 以 后 ,认证 机 构 会 通过 发 布 CRL 的 方式 来 通知 各 个 相关 方 。 
X. 509 中 CRL 所 包含 的 主要 内 容 格式 如 下 (结构 如 图 3-9 所 示 ) 。 

(1) 证 书 版 本 号 。CRL 的 版 本 号 ,0 表示 X. 509 v1 标准 ,1 表示 


证 书 版 本 号 
答 名 算法 X. 509 v2 标准 , 依 此 类 推 。 目 前 最 新 的 版 本 为 X. 509 v4。 
证 书签 发 机 构 名 (2) 签名 算法 。 包 含 算法 标识 和 算法 参数 ,用 于 指定 证 书签 发 
人 机 构 用 来 对 CRL 内 容 进行 签名 的 算法 。 
月 肌 大 机 本 二 (3) 证 书签 发 机 构 名 。 签 发 机 构 的 DN 名 ,由 国家 、 省 市 .地 区 、 
签名 算法 组 织 机 构 .单位 部 门 和 通用 名 等 组 成 。 
签名 值 (4) 本 次 签发 时 间 。 本 次 CRL 签发 时 间 ,遵循 ITU-T X. 509 v2 
图 3-9 证 书 撤销 列表 ”标准 的 CA, 在 2049 年 之 前 把 这 个 域 编码 为 UTCTime 类 型 ,在 


2050 或 2050 年 之 后 把 这 个 域 编码 为 GeneralizedTime 类 型 。 

(5) 下 次 签发 时 间 。 下 次 CRL 签发 时 间 ,遵循 ITU-T X. 509 v2 标准 的 CA ,在 2049 年 
之 前 把 这 个 域 编码 为 UTCTime 类 型 ,在 2050 或 2050 年 之 后 把 这 个 域 编码 为 
GeneralizedTime 类 型 。 

(6) 用 户 公 钥 信息 。 其 中 包括 撤销 的 证 书 序列 号 和 证 书 撤销 时 间 。 撤 销 的 证 书 序列 号 
是 指 要 撤销 的 由 同一 个 CA 签发 的 证 书 的 一 个 唯一 标识 号 ,同一 机 构 签发 的 证 书 不 会 有 相 
同 的 序列 号 。 

(7) 签名 算法 。 对 CRL 内 容 进行 签名 的 签名 算法 。 

(8) 签名 值 。 证 书签 发 机 构 对 CRL 内 容 的 签名 值 。 

另外 ,CRL 中 还 包含 扩展 域 和 条 目 扩展 域 。CRL 扩展 域 用 于 提供 与 CRL 有 关 的 额外 
信息 ,允许 团体 和 组 织 定 义 私 有 的 CRL 扩展 域 来 传送 他 们 独 有 的 信息 ; CRL 条 目 扩展 域 则 
提供 与 CRL 条 目 有 关 的 额外 信息 ,允许 团体 和 组 织 定 义 私 有 的 CRL 条 目 扩展 域 来 传送 他 
们 独 有 的 信息 。 

基于 CRL 的 周期 发 布 证 书 状 态 信 息 机 制 ,主要 有 以 下 优点 。 

(1) 证 书 撤销 列表 的 安全 性 是 通过 CA 中 心 (或 者 CA 授权 的 机 构 ) 签 名 来 保证 的 ,所 以 
证 书 存储 的 地 址 并 没有 受到 严格 的 控制 ,这 样 就 可 以 根据 需要 在 适当 的 地 方 存储 需要 
的 CRL。 

(2) 在 CRL 中 ,包含 一 个 本 列表 的 颁发 日 期 ,以 及 下 一 次 CRL 的 颁发 时 间 。 这 两 个 属 
性 可 以 帮助 管理 CRL 缓冲 区 。 如 果 证 书 的 撤销 频率 不 是 很 高 ,CRL 将 会 是 一 个 有 效 的 有 
较 好 伸缩 性 的 证 书 状态 信息 分 发 机 制 。 

(3) 使 用 增 量 CRL 机 制 , 仅 发 布 那些 自 某 个 基本 CRL 颁发 以 来 新 撤销 的 证 书 , 这 样 减 
少 了 单个 签名 的 信息 量 , 同 时 增加 了 CRL 的 实时 性 并 且 提 高 了 证 书 状态 响应 器 (服务 器 ) 的 
应 答 时 间 。 

在 PKI 系统 中 ,CRL 是 自动 完成 的 ,而 且 对 用 户 是 透明 的 。CRL 中 并 不 存放 撤销 证 书 


的 全 部 内 容 , 只 存放 证 书 的 序列 号 ,以 便 提高 检索 速率 。CRL 产生 的 主要 步骤 如 下 。 

(1) RA 建立 与 CA 的 连接 ,提出 撤销 申请 。 该 申请 中 包括 撤销 证 书 的 序列 号 及 撤销 
理由 。 

(2) CA 将 撤销 证 书 的 序列 号 签发 到 CRL 中 。 

(3) 系统 通过 数据 库 或 LDAP 目录 等 方式 发 放 新 的 CRL, 并 且 提 供用 户 在 线 查询 。 

2. 利用 OCSP 撤销 证 书 

尽管 利用 CRL 撤销 证 书 具 有 许多 优点 ,但 该 方式 本 身 固 有 的 CRL 的 存储 位 置 分 散 、 
CRL 的 更 新 无 法 准确 统计 及 客户 端 程序 比较 复杂 等 缺点 ,致使 基于 CRL 的 证 书 撤销 机 制 
在 实际 应 用 中 存在 不 足 。 

在 线 证 书 状态 协议 (OCSP) 是 IETF 工作 组 颁布 的 用 于 检查 数字 证 书 在 当前 时 刻 是 否 
有 效 的 标准 协议 。 该 协议 提供 给 用 户 一 条 便捷 的 证 书 状态 查询 通道 ,使 PKI 体系 能 够 更 有 
效 、 更 安全 地 应 用 于 各 个 领域 。OCSP 可 以 作为 周期 性 CRL 的 一 种 替代 机 制 或 者 补充 机 
制 , 它 对 于 获得 一 个 证 书 撤销 状态 的 及 时 信息 是 必要 的 。 与 CRL 相 比 ,OCSP 对 获得 证 书 撤销 
信息 的 及 时 性 要 强 , 所 以 OCSP 一 般 用 于 网 上 银行 .网 上 证 券 和 电子 政务 中 的 某 些 关键 部 门 。 

OCSP 协议 是 用 于 OCSP 请 求 者 (客户 端 ) 和 OCSP 响应 器 (服务 器 ) 之 间 的 一 个 请 求 / 
响应 协议 。 客 户 端 生成 一 个 OCSP 请 求 , 它 包含 一 个 或 者 多 个 待 查询 证 书 的 标识 符 , 客 户 端 
可 以 选择 性 地 对 该 请 求 进行 数字 签名 。 然 后 ,客户 端 将 请 求 发 送 给 服务 器 。OCSP 响应 器 
对 收 到 的 请 求 返 回 一 个 响应 (出 错 信息 或 是 确定 的 回复 )。OCSP 响应 器 返回 出 错 信息 时 ， 
该 响应 不 用 签名 。 出 错 信 息 包括 请 求 编码 格式 不 正确 、 内 部 错误 、 稍 后 再 试 .请求 需要 签名 
和 未 授权 等 内 容 。OCSP 响应 器 返回 确定 的 回复 时 ,该 响应 必须 进行 数字 签名 。 

OCSP 是 一 种 相对 简单 的 请 求 /响应 协议 , 它 使 得 客户 端 应 用 程序 可 以 测定 所 需 验 证 的 
证 书 状态 。 协 议 对 OCSP 客户 端 和 OCSP 响应 器 之 间 需 要 交换 的 数据 进行 了 描述 。 一 个 
OCSP 请 求 包含 协议 版 本 .服务 请 求 、 目 标 证 书 标识 和 可 选 的 扩展 项 等 数据 。 一 个 确定 的 响 
应 由 版 本 号 .响应 器 名 称 、 对 每 一 张 被 请 求证 书 的 回复 .可 选 扩展 项 .签名 算法 、 对 象 标识 和 
签名 等 组 成 。 

OCSP 机 制 的 主要 优点 。 

(1) 从 OCSP 响应 器 得 到 的 信息 总 是 能 够 反映 该 证 书 的 真实 状态 。 

(2) 与 CRL 相 比 ,每 一 次 证 书 查询 需要 处 理 的 信息 量 要 小 得 多 ,因为 用 户 只 关心 当前 
查询 的 证 书 状态 ,而 且 客 户 端 应 用 程序 需要 处 理 的 返回 信息 也 要 少 一 些 。 尽 管 OCSP 有 许 
多 优点 ,但 基于 证 书 响应 状态 协议 的 机 制 也 存在 一 些 问题 与 不 确定 性 。 

(1) 证 书 状态 响应 器 应 该 是 一 个 可 信 的 在 线 服务 器 ,并 为 每 一 个 请 求 提 供 及 时 的 响应 
而 且 , 证 书 状态 响应 服务 器 不 能 完全 替代 CRL 存储 库 ,一 定 条 件 下 仍然 需要 访问 CRL 存储 
库 去 查找 证 书 。 

(2) 证 书 状态 响应 器 难以 实现 镜像 ,也 难以 备份 ,可 能 成 为 通信 中 的 瓶颈 。 而 且 , 在 线 
响应 系统 的 访问 流量 可 能 非常 不 均匀 ,使 得 服务 器 系统 条 常 处 于 不 稳定 的 状态 ， 这 样 很 容易 
受到 拒绝 服务 等 攻击 。 

(3) 证 书 状态 的 响应 服务 器 必须 生成 大 量 的 签名 ,来 保证 每 次 响应 的 真实 性 和 有 效 性 ， 
同时 也 可 能 需要 验证 大 量 的 签名 ,这 些 过 程 将 降低 服务 器 的 性 能 ,甚至 可 能 出 现 由 于 请 求 等 
待 时 间 过 长 而 丢失 请 求 信息 。 
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3.3.5 证 书 更 新 


在 PKI 系统 中 ,每 一 份 数字 证 书 被 颁发 以 后 都 有 其 生命 周期 。 当 证 书 超出 了 其 有 效 期 
就 被 作废 而 要 求 更 新 。 进 行 证 书 更 新 的 主要 原因 如 下 : 一 是 与 证 书 相关 的 密 钥 可 能 达到 它 
有 效 的 生命 终点 ; 二 是 证 书 即将 到 期 ; 三 是 证 书 中 的 一 些 属性 发 生 了 变化 ,必须 进行 改变 。 
在 这 些 情况 下 ,必须 颁发 一 个 新 的 证 书 ,这 称 为 证 书 更 新 或 重新 证 明 。 根 据 证 书 应 用 对 象 的 
不 同 ,证 书 更 新 分 为 普通 用 户 证 书 更 新 和 机 构 证 书 更 新 两 种 类 型 。 

1. 普通 用 户 证 书 更 新 

普通 用 户 证 书 一 般 是 指 由 普通 用 户 根据 个 人 (包括 组 织 或 单位 ) 需 要 所 申请 和 使 用 的 数 
字 证 书 。 普 通用 户 证 书 更 新 一 般 有 以 下 两 种 方式 。 

(1) 人 工 更 新 。 用 户 向 注册 机 构 提 出 更 新 证 书 的 申请 ,RA 根据 用 户 申请 信息 更 新 用 户 
的 证 书 。 

(2) 自动 密 钥 更 新 。PKI 系统 采用 对 管理 员 和 用 户 透 明 的 方式 ,对 快要 过 期 的 证 书 进 
行 自动 更 新 ,生成 新 的 密 钥 对 。 

2. 机 构 证 书 更 新 

机 构 证 书 也 是 一 种 证 书 , 只 是 这 种 证 书 专门 用 来 证 实 机 构 ( 如 CA、RA 等 ) 的 真实 性 、 合 
法 性 .可靠 性 以 及 可 信任 性 。 机 构 证 书 与 普通 用 户 证 书 一 样 ,如 果 在 有 效 期 快 到 期 时 ,就 要 
进行 更 新 并 将 更 新 消息 告知 所 有 的 相关 用 户 及 机 构 。 因 此 ,这 就 需要 一 套 完整 的 机 制 来 保 
证 机 构 证 书 的 顺利 更 新 ,从 而 保证 整个 系统 的 有 效 性 和 安全 性 。 在 一 个 PKI 系统 中 ,机 构 
的 类 型 分 为 各 级 CA 机 构 及 RA 机 构 , 因 而 机 构 证 书 的 类 型 也 相应 地 分 为 RA 机 构 证 书 和 
CA 机 构 证 书 。 

当 机 构 证 书 快 到 期 时 ,就 需要 对 它 进 行 更 新 操作 。 它 的 更 新 操作 与 一 般 普通 用 户 证 书 
有 很 大 的 差别 。 普 通用 户 证 书 在 更 新 时 ,只 需要 向 签发 机 构 发 出 申请 ,由 签发 机 构 撤销 旧 的 
证 书 ,并 重新 产生 新 的 公私 密 钥 对 和 颁发 新 的 证 书 , 用 户 证 书 就 更 新 结束 。 相 比 之 下 ,机构 
证 书 的 更 新 就 复杂 得 多 , 它 分 为 根 CA 的 更 新 和 下 级 CA 的 更 新 。 

为 了 保证 系统 的 连续 性 ,在 机 构 证 书 更 新 期 间 , 根 CA 就 有 多 个 证 书 存在 。 如 下 所 示 ， 
根 CA 在 更 新 期 间 , 共 有 3 类 证 书 存在 (其 中 old 表示 旧 证 书 ,new 表示 新 证 书 ) 。 

。 oldwithnew。 用 新 证 书签 发 的 旧 证 书 。 

。 newwithold。 用 旧 证 书签 发 的 新 证 书 。 

。 newwithnew。 根 CA 自 签发 的 新 证 书 。 

其 中 ,oldwithnew 和 newwithold 证 书 是 为 了 在 证 书 更 新 期 间 保持 证 书 认证 的 连续 性 ,它们 
在 根 CA 证 书 更 新 结束 时 要 被 全 部 撤销 。oldwithnew 用 于 旧 的 用 户 证 书 的 认证 及 新 旧 用 
户 证 书 的 相互 认证 ; newwithold 用 于 新 旧 证 书 的 相互 认证 ; newwithnew 用 于 新 证 书 的 认 
证 和 颁发 新 的 下 级 证 书 。 同 时 在 根 CA 更 新 的 同时 ,也 需要 用 newwithnew 对 证 书 撤销 列 
表 进 行 操作 ,并 生成 新 的 证 书 链 文 件 。 

下 级 机 构 证 书 的 撤销 相对 根 CA 而 言 就 要 简单 一 些 。 下 级 机 构 证 书 快 到 期 时 ,由 下 级 
机 构 向 上 级 CA 申请 证 书 更 新 ,上 级 CA 通过 为 下 级 机 构 颁发 新 的 证 书 并 同时 撤销 旧 的 证 
书 来 达到 下 级 机 构 证 书 的 更 新 目的 。 但 是 ,下 级 机 构 证 书 更 新 后 ,如 果 是 CA 机 构 , 则 要 同 
时 重 签证 书 撤销 列表 并 发 布 到 证 书目 录 服 务 器 上 ,以 供用 户 使 用 及 认证 使 用 。 


需要 说 明 的 是 ,由 于 证 书 的 不 断 更 新 ,一 段 时 间 后 同一 个 用 户 ( 或 机 构 ) 可 能 会 存在 多 个 
旧 证 书 ,这 一 系列 的 旧 证 书 形成 了 证 书 的 历史 档案 ,需要 对 其 进行 归档 ,并 集中 管理 ,以 备 需 
要 时 使 用 。 


3.4 PMI 技 术 


授权 管理 基础 设施 (Privilege Management Infrastructure, PMI1) 是 国家 信息 安全 基础 
设施 的 一 个 重要 组 成 部 分 ,目标 是 向 用 户 和 应 用 程序 提供 授权 管理 服务 ,提供 用 户 身份 到 应 
用 授权 的 映射 功能 ,提供 与 实际 应 用 处 理 模式 相对 应 的 .与 具体 应 用 系统 开发 和 管理 无 关 的 
授权 和 访问 控制 机 制 ,简化 具体 应 用 系统 的 开发 和 维护 。 


3.4.1 PMI 的 概念 


PMI 是 在 PKI 发 展 过 程 中 为 了 将 用 户 权限 的 管理 与 其 公 钥 的 管理 分 离 , 由 IETF 提出 
的 一 种 标准 。PKI 以 公 钥 证 书 为 基础 ,实现 用 户 身份 的 统一 管理 ; 而 PMI 以 2000 年 推出 
的 X. 509 v4 标准 中 提出 的 属性 证 书 为 基础 ,实现 用 户 权 限 的 统一 管理 。 

在 过 去 的 几 年 里 ,PKI 已 成 为 电子 商务 、 电 子 政务 等 网 络 应 用 中 不 可 缺少 的 安全 支撑 系 
统 。PKI 通过 方便 灵活 的 密 钥 和 证 书 管理 方式 ,提供 了 在 线 身 份 认证 的 有 效 手段 ,为 访问 控 
制 . 抗 抵赖 和 保密 性 等 安全 机 制 在 系统 中 的 实施 奠定 了 基础 。 随 着 网 络 应 用 的 扩展 和 深入 ， 
仅仅 能 确定 “他 是 谁 " 已 经 不 能 满足 需要 ,安全 系统 要 求 提供 一 种 手段 能 够 进一步 确定 “他 能 
做 什么 ”。 为 了 解决 这 个 问题 ,PMI 应 运 而 生 。 就 像 现 实生 活 中 一 样 , 网 络 世界 中 的 每 个 用 
户 也 有 各 种 属性 ,属性 决定 了 用 户 的 权限 。PMI 的 最 终 目 标 就 是 提供 一 种 有 效 的 体系 结构 
来 管理 用 户 的 属性 。 这 包括 如 下 两 个 方面 的 含义 。 

(1) PMI 系统 保证 用 户 获取 他 们 有 权 获 取 的 信息 ,在 他 们 的 权限 范围 内 进行 相关 操作 。 

(2) PMI 应 能 提供 跨 应 用 、 跨 系统 、 跨 企业 和 跨 安全 域 的 用 户 属性 的 管理 和 交互 手段 。 

概括 地 讲 ,PMI 以 资源 管理 为 核心 ,对 资源 的 访问 控制 权 统一 交 由 授权 机 构 统 一 处 理 。 
同 PKI 相 比 ,两 者 的 主要 区 别 在 于 PKI 证 明 用 户 是 谁 ,而 PMI 证 明 这 个 用 户 有 什么 权限 、 
能 干什么 。PMI 需要 PKI 为 其 提供 身份 认证 。PMI 实际 提出 了 一 个 新 的 信息 保护 基础 设 
施 ,能 够 与 PKI 紧密 地 集成 .并 系统 地 建立 起 对 认可 用 户 的 特定 授权 ,对 权限 管理 进行 系统 
的 定义 和 描述 ,完整 地 提供 授权 服务 所 需 过 程 。 


3.4.2 PMI 的 组 成 


PMI 与 PKI 不同 ,PKI 主要 进行 身份 鉴别 ,证 明 用 户 身份 。 而 PMI 主要 进行 授权 管 
理 ,证 明 用 户 有 什么 权限 。PMI 主要 由 属性 权威 (Attribute Authority, AA)、 属 性 证 书 
(Attribute Certification, AC) 和 属性 证 书库 3 部 分 组 成 。 

1. 属性 权威 

属性 权威 也 称 为 “授权 管理 中 心 ”或 “属性 权威 机 构 ”, 是 整个 PMI 系统 的 核心 , 它 为 不 
同 的 用 户 和 机 构 进行 属性 证 书 创建 存储、 签发 和 撤销 ,负责 管理 AC 的 整个 生命 周期 。 从 
表面 上 看 ,PMI 中 的 AA 有 一 些 类 似 于 PKI 中 的 CA, 但 两 者 在 逻辑 上 是 完全 独立 的 。PKI 
中 的 CA 主要 用 来 管理 用 户 的 身份 ,而 PMI 中 的 AA 主要 管理 用 户 的 权限 。 另 外 ,有 可 能 
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在 PMI 建立 之 前 PKI 就 已 经 存在 。 

图 3-10 所 示 的 是 AA 的 层次 结构 。 其 中 ,在 该 树 型 结构 最 顶端 ( 树 根 ) 的 是 权威 源 
(Source of Authority,SOA) 。SOA 是 授权 管理 的 中 心 业 务 服务 结 点 ,所 有 的 实体 (包括 
AA .终端 用 户 等 ) 都 信任 由 SOA 授予 的 部 分 或 所 有 权利 。 在 不 存在 授权 委托 的 情况 下 ， 
SOA 是 AC 的 初始 签发 者 , 它 将 授权 分 配给 授权 持 有 者 (如 终端 用 户 ) 。 然 而 ,如 果 存 在 着 
授权 委托 ,SOA 可 以 授权 给 AA ,使 得 AA 可 以 作为 代理 点 ,委托 授权 给 其 他 实体 。SOA 也 
可 以 对 AA 的 权限 委托 施加 一 些 限制 (例如 限制 路 径 长 度 等 ) 。 


图 3-10 ”AA 的 层次 结构 


在 AA 层次 结构 中 ,下 一 层 AA 的 产生 有 两 种 情况 : 一 种 是 上 一 层 AA 需要 将 某 些 相 
对 独立 的 证 书 创建 ,颁发 工作 委托 给 一 个 子 AA 来 担当 ; 另外 一 种 情况 是 某 个 已 经 存在 的 
AA 主动 申请 加 入 PMI 系统 中 ,并 成 为 某 一 个 AA 的 子 节点 。 一 般 情况 下 ,上 一 层 AA 充 
分 了 解 自 己 的 子 节点 AA 和 自己 直接 管理 的 终端 用 户 的 情况 ,而 不 一 定 充 分 了 解 子 节点 
AA 所 负责 管理 的 终端 用 户 的 情况 。 一 般 情况 下 ,应 用 功能 相近 的 终端 用 户 可 以 在 同一 个 
NNT 

2. 属性 证 书 

属性 证 书 是 由 PMI 的 权威 机 构 ( 即 属性 权威 ) 签 发 的 ,将 实体 与 其 享有 的 权限 属性 捆绑 
在 一 起 的 数据 结构 。 权 威 机 构 的 数字 签名 保证 了 绑 定 的 有 效 性 和 合法 性 。AC 主要 用 于 授 
权 管理 。 

AC 建立 在 基于 PKI 公 钥 证 书 的 身份 认证 基础 上 。PKI 中 的 公 钥 证 书 保证 实体 及 其 公 
钥 的 对 应 性 ,为 数据 完整 性 、 实 体 认证 、 保 密 性 和 授权 等 安全 机 制 提供 身份 服务 。 那 么 ,为 什 
么 不 直接 用 公 钥 证 书 来 加 密 属性 而 使 用 独立 的 AC 呢 ? 首先 ,身份 和 属性 的 有 效 时 间 有 很 
大 差异 。 身 份 往往 相对 稳定 ,变化 较 少 ; 而 属性 (如 职务 、 职 位 和 部 门 等 ) 的 变化 较 快 。 因 
此 ,属性 证 书 的 生命 周期 往往 远 短 于 用 于 标识 身份 的 公 钥 证 书 。 举 例 来 说 , 公 钥 证 书 类 似 于 
居民 身份 证 ,而 属性 证 书 类 似 于 工作 证 。 居 民 身 份 证 代表 了 一 个 人 的 身份 ,签发 时 间 一 般 都 
比较 长 ; 而 工作 证 的 有 效 期 一 般 要 视 具 体 的 工作 单位 和 性 质 而 定 , 时 间 相 对 比较 短 。 

其 次 , 公 钥 证 书 和 属性 证 书 的 管理 颁发 部 门 有 可 能 不 同 。 仍 以 居民 身份 证 和 工作 证 为 
例 进 行 说 明 。 居 民 身 份 证 实行 一 人 一 证 ,并 由 唯一 的 国家 机 关 签 发 ; 而 工作 证 可 能 会 存在 
一 人 多 证 ,并 分 别 由 不 同 的 单位 签发 。 与 此 相似 , 公 钥 证 书 由 身份 管理 系统 进行 控制 ,而 属 
性 证 书 的 管理 则 与 应 用 紧密 相关 。 目 前 ,许多 高 校 都 建立 了 数字 化 校园 平台 ,在 该 平台 上 集 
成 了 教务 管理 ,学 生 管理 .财务 管理 和 资产 管理 等 应 用 系统 。 对 于 学 校 的 一 个 教工 而 言 ,每 


人 都 需要 一 个 进入 数字 化 校园 的 唯一 账号 该 账号 用 于 确定 用 户 的 身份 。 但 是 ,不 同 的 人 员 
在 进入 数字 化 校园 后 ,可 能 会 根据 工作 性 质 的 不 同 ,对 不 同 的 系统 具有 不 同 的 权限 。 例 如 ， 
普通 教师 只 可 以 访问 教务 系统 ,财务 人 员 只 可 以 访问 财务 管理 系统 ,而 学 校 领导 则 可 以 同时 
访问 所 有 的 系统 。 

所 以 ,在 一 个 系统 中 每 个 用 户 只 有 一 张 合 法 的 公 钥 证 书 , 而 属性 证 书 的 签发 则 比较 灵活 。 


多 个 应 用 可 使 用 同一 属性 证 书 , 但 也 可 为 同一 应 用 的 不 同 操作 颁 版 本 
发 不 同 的 属性 证 书 。 属 性 证 书 的 格式 如 图 3-11 所 示 。 其 中 的 内 EY 
容 说 明 如 下 。 签发 者 
。 版 本 。 说明 PMI 中 AC 的 版 本 号 。 具 体 含义 与 PKI 中 的 签发 者 唯一 标识 符 
数字 证 书 相同 。 i 
。 主 体 名 称 。 用 于 说 明 该 授权 证 书 的 持 有 者 。 二 二 
。 签发 者 。 签 发 该 AC 的 AA 名 称 。 属性 
。 签发 者 唯一 标识 符 。 签 发 该 AC 的 AA 的 唯一 标识 符 , 以 扩展 项 
位 串 形 式 表示 。 图 3-11 属性 证 书 的 格式 


。 签名 算法 。 签 发 证 书 时 所 使 用 的 算法 。 

。 序列 号 。 该 证 书 的 有 效 序列 号 ,在 PMI 系统 中 该 序列 号 是 唯一 的 。 

。 有 效 期 。 该 证 书 的 有 效 使 用 期 限 。 

。 属性 。 拥 有 者 所 具有 的 权限 属性 。 

。 扩展 项 。 用 于 功能 的 扩展 。 

PMI 中 属性 证 书 的 撤销 与 PKI 中 公 钥 证 书 相似 ,也 是 通过 证 书 撤 销 列 表 的 方式 来 实现 
的 。 在 PMI 系统 中 ,需要 维护 ACRL( 属 性 证 书 撤销 列表 ) 来 进行 证 书 的 撤销 操作 。 

3. 属性 证 书库 

属性 证 书库 用 于 存储 属性 证 书 , 一 般 情 况 下 采用 LDAP 目录 服务 器 ,主要 出 于 以 下 几 

(1) 由 于 LDAP 目录 服务 器 能 够 处 理 大 量 的 用 户 并 发 ,这 样 便于 属性 证 书 的 检索 ,并 具 
有 更 快 的 响应 速度 。 

(2) LDAP 目录 服务 器 具有 完善 的 安全 机 制 ,可 以 通过 访问 控制 列表 设置 对 目录 数据 
读 和 写 的 权限 。 通 过 支持 基于 SSL 的 安全 机 制 完 成 对 明文 的 加 密 ,可 以 为 属性 证 书 的 管理 
提供 安全 保障 。 

(3) LDAP 目录 服务 器 可 以 跨 平台 操作 ,支持 Windows、UNIX、Linux 和 NetWare 等 
几乎 所 有 的 主流 操作 系统 。 

(4) 同步 复制 功能 。 例 如 ,分布 在 不 同 地 理 位 置 的 两 台 目 录 服 务 器 可 以 通过 使 用 * 推 ” 
“ 拉 ? 技 术 使 服务 器 保持 数据 的 同步 和 一 致 。 

(5) LDAP 目录 服务 器 数据 的 组 织 方式 采用 树 形 层次 结构 ,便于 扩展 。 


3.4.3 基于 角色 的 访问 控制 

随 着 现代 信息 技术 的 迅速 发 展 ,在 网 络 中 传输 和 处 理 的 信息 和 数据 越 来 越 多 。 对 于 一 
个 资源 可 控 的 网 络 来 说 ,在 资源 数量 迅速 扩大 的 同时 需要 加 强 对 资源 的 控制 和 管理 。 

在 分 布 式 网 络 环境 下 ,对 于 安全 性 要 求 较 高 的 信息 资源 , 既 要 求 能 够 由 信息 资源 的 管理 
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部 门 统一 进行 管理 ,确保 信息 资源 受 控 、 合 法 和 安全 地 使 用 ,又 需要 授权 管理 和 访问 控制 的 
复杂 度 不 能 因为 资源 和 用 户 数量 的 增长 而 迅速 增加 ,以 确保 授权 和 访问 控制 的 可 管理 性 , 实 
现 统一 、 高 效 和 灵活 的 访问 控制 。 传 统 的 访问 控制 机 制 主要 有 自主 访问 控制 (Discretionary 
Access Control,DAC) 和 强制 访问 控制 (Mandatory Access Control, MAC)。 

其 中 ,自主 访问 控制 也 叫做 基于 身份 的 访问 控制 ,其 主要 思想 是 系统 的 主体 可 以 自主 地 
将 其 拥有 的 对 客体 的 访问 权限 授予 其 他 主体 , 且 这 种 授予 具有 可 传递 性 。 特 点 是 灵活 性 高 ， 
但 授权 管理 复杂 ,安全 性 低 。 而 强制 访问 控制 也 叫 基 于 规则 的 访问 控制 ,其 主要 思想 是 将 主 
体 和 客体 分 级 ,根据 主体 和 客体 的 级 别 标识 来 决定 访问 控制 。 特 点 是 便于 管理 ,但 灵活 性 
差 , 完 整 性 方面 控制 不 够 。 

随 着 网 络 应 用 的 不 断 发 展 ,传统 的 DAC 和 MAC 两 种 访问 控制 方式 已 远 远 不 能 满足 访 
问 控制 的 上 述 要 求 。20 世纪 90 年 代 以 来 发 展 起 来 的 基于 角色 的 访问 控制 (Role-Based 
Access Control,RBAC) 技 术 可 以 减少 授权 管理 的 复杂 度 , 降 低 管 理 开 销 , 提 高 访问 控制 的 
安全 性 ,而 且 能 够 实现 基于 策略 的 授权 管理 和 访问 控制 。 

以 资源 分 配 管 理 为 主 的 PMI 系统 ,其 授权 管理 是 基于 角色 的 。 角 色 是 给 用 户 分 配 权限 
的 一 种 间接 手段 ,是 对 用 户 拥 有 的 职能 和 权限 的 一 种 抽象 。 通 过 定义 角色 ,为 每 个 角色 分 配 
一 定 的 权限 。RBAC 的 基本 思想 是 : 根据 用 户 在 组 织 内 的 职称 .职务 及 所 属 的 业务 部 门 等 信 
息 来 定义 用 户 拥有 的 角色 。 而 授权 给 用 户 的 访问 权限 ,由 用 户 在 组 织 中 担当 的 角色 来 确定 。 

鉴于 基于 角色 的 访问 控制 技术 的 优势 ,需要 在 PMI 中 采用 基于 角色 的 访问 控制 技术 进 
行 授权 管理 和 访问 控制 。 具 体 以 角色 为 中 介 ,建立 以 对 象 与 操作 、 权 限 .角色 .组织 结 构 、 系 
统 结构 为 核心 的 层次 化 的 资源 结构 和 关系 的 描述 .定义 和 管理 框架 ,充分 反映 信息 系统 资源 
配置 和 部 署 的 现状 ,以 及 未 来 资源 结构 动态 变化 和 业务 发 展 的 需求 ,为 授权 管理 和 访问 控制 
提供 基础 信息 ,并 通过 角色 的 分 配 实现 对 用 户 的 授权 ,提高 授权 的 可 管理 性 和 安全 性 ,简化 
授权 管理 的 复杂 度 ,降低 资源 管理 和 授权 管理 的 成 本 ,提高 管理 的 效率 。 

与 传统 的 访问 控制 机 制 相 比 ,在 PMI 系统 中 基于 角色 的 授权 管理 模式 主要 存在 以 下 三 
个 方面 的 优势 。 

(1) 授权 管理 的 灵活 性 。 基 于 角色 的 授权 管理 模式 可 以 通过 属性 证 书 的 有 效 期 ,以 及 
委托 授权 机 构 来 灵活 地 进行 授权 管理 ,从 而 实现 传统 的 访问 控制 技术 领域 中 的 强制 访问 控 
制 模式 与 自主 访问 控制 模式 的 有 机 结合 ,其 灵活 性 要 优 于 传统 的 授权 管理 模式 。 

(2) 授权 操作 与 业务 操作 相 分 离 。 基 于 角色 的 授权 管理 模式 将 业务 管理 工作 与 授权 管 
理工 作 完全 分 离 ,更 加 明确 了 业务 管理 员 和 安全 管理 员 之 间 的 职责 分 工 , 可 以 有 效 地 避免 由 
于 业务 管理 人 员 参 与 到 授权 管理 活动 中 可 能 带 来 的 一 些 问题 。 

(3) 多 授权 模型 的 灵活 支持 。 基 于 角色 的 授权 管理 模式 将 整个 授权 管理 体系 从 应 用 系 
统 中 分 离 出 来 ,授权 管理 模块 自身 的 维护 和 更 新 操作 将 与 具体 的 应 用 系统 无 关 。 因 此 ,可 以 
在 不 影响 原 有 应 用 系统 正常 运行 的 前 提 下 ,实现 对 多 授权 模型 的 支持 。 


3.4.4 PMI 系统 框架 


授权 管理 基础 设施 在 体系 上 可 以 分 为 三 级 : 权威 源 (SOA)、 属 性 权威 和 AA 代理 点 。 
在 实际 应 用 中 ,这 种 分 级 体系 可 以 根据 需要 进行 灵活 配置 ,可 以 是 三 级 .二 级 或 一 级 。PMI 
系统 的 基本 框架 如 图 3-12 所 示 。 


图 3-12 PMI 系统 框架 


1. 权威 源 

权威 源 是 整个 授权 管理 体系 的 中 心 业务 节点 ,也 是 整个 授权 管理 基础 设施 的 最 终 信 任 
源 和 最 高 管理 机 构 。SOA 的 职责 主要 包括 授权 管理 策略 的 管理 ,应 用 授权 受理 .AA 的 设 
立 审核 和 管理 ,以 及 授权 管理 体系 业务 的 规范 化 等 。 

2. 属性 权威 

属性 权威 是 授权 管理 基础 设施 的 核心 服务 节点 ,是 对 应 于 具体 应 用 系统 的 授权 管理 分 
系统 ,由 具有 设立 AA 业务 需求 的 各 应 用 单位 负责 建设 ,并 与 SOA 中 心 通过 业务 协议 达成 
相互 的 信任 关系 。AA 的 职责 主要 包括 应 用 授权 受理 、 属 性 证 书 的 发 放 和 管理 ,以 及 AA 代 
理 点 的 设立 审核 和 管理 等 。AA 需要 为 其 所 发 放 的 所 有 AC 维持 一 个 历史 记录 和 更 新 记录 。 

3. AA 代理 点 

AA 代理 点 是 授权 管理 基础 设施 的 用 户 代理 节点 ,也 称 为 “资源 管理 中 心 *。AA 代理 
点 与 具体 应 用 直接 联系 ,是 对 应 AA 的 附属 机 构 .接受 AA 的 直接 管理 ,由 各 AA 负责 建设 ， 
但 必须 经 过 SOA 的 同意 ,并 签发 相应 的 证 书 。AA 代理 点 的 设立 和 数目 由 各 AA 根据 自身 
的 业务 发 展 需求 而 定 。AA 代理 点 的 职责 主要 包括 应 用 授权 服务 代理 和 应 用 授权 审核 代理 
等 ,负责 对 具体 的 用 户 应 用 资源 进行 授权 审核 ,并 将 AC 的 操作 请 求 提交 到 AA 进行 处 理 。 

4. 访问 控制 执行 者 

访问 控制 执行 者 是 指 用 户 应 用 系统 中 具体 对 授权 验证 服务 的 调用 模块 。 实 际 上 访问 控 
制 执行 者 并 不 属于 授权 管理 基础 设施 的 部 分 ,但 却 是 授权 管理 体系 的 重要 组 成 部 分 。 

访问 控制 执行 者 的 主要 职责 是 将 最 终 用 户 针 对 特定 的 操作 授权 所 提交 的 授权 信息 , 连 
同 对 应 的 身份 验证 信息 ( 公 钥 证 书 ) 一 起 提交 到 AA 代理 点 ,并 根据 AA 返回 的 授权 结果 , 进 
行 具 体 的 应 用 授权 处 理 。 


3.4.5 PMI 与 PKI 之 间 的 关系 


在 建设 PMI 设施 时 ,必须 拥有 足够 安全 性 的 PKI 设施 。 其 中 ,PKI 负责 公 钥 信息 的 管 
理 , 而 PMI 负责 权限 的 管理 。PMI 设施 中 的 每 一 个 AA 实体 和 终端 用 户 都 是 PKI 设施 的 
用 户 , 所 以 从 应 用 角度 来 看 .PMI 和 PKI 的 发 展 是 相辅相成 并 互 为 条 件 的 。 虽 然 PMI 是 在 
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PKI 的 基础 上 提出 的 ,但 是 PMI 的 应 用 和 发 展 离 不 开 PKI 设施 的 支持 。 

可 以 将 PMI 和 PKI 绑 定 在 一 起 ,也 可 以 让 PMI 与 PKI 在 物理 上 分 开 。 因 为 与 PMI 
相 比 ,PKI 相对 比较 稳定 ,其 属性 的 变化 较 小 。 而 PMI 则 会 因为 应 用 类 型 的 变化 (如 增加 
或 删除 ) 而 动态 更 新 。 所 以 PMI 在 人 逻辑 上 必然 与 PKI 相 联 系 ,而 在 物理 上 可 分 离 也 可 
合并 。 

PMI 和 PKI 有 很 多 相似 的 概念 。 如 属性 证 书 与 公 钥 证 书 , 属 性 权威 与 认证 机 构 。 公 钥 
证 书 是 对 用 户 名 称 和 其 公 钥 进行 绑 定 ,而 属性 证 书 是 将 用 户 名 称 与 一 个 或 更 多 的 权限 属性 
进行 绑 定 。 数 字 签名 公 钥 证 书 的 实体 称 为 CA ,签名 属性 证 书 的 实体 称 为 AA。PKI 和 PMI 
之 间 的 主要 区 别 在 于 : PMI 主要 进行 授权 管理 ,证 明 这 个 用 户 有 什么 权限 ,能 干什么 , 即 “ 你 
能 做 什么 ”; 而 PKI 主要 进行 身份 鉴别 ,证 明 用 户 身份 , 即 “ 你 是 谁 ”"。 将 PKI 和 PMI 技术 结 
合 ,实现 可 信 的 身份 认证 和 可 信 授 权 管 理 是 目前 较为 完善 的 安全 保障 措施 。 


3.5 实验 操作 1 数字 证 书 的 应 用 


本 章 前 面 的 内 容 较为 详细 地 介绍 了 PKI 和 PMI 的 相关 知识 ,本 节 通 过 一 个 具体 的 实 
验 ,使 读者 在 掌握 数字 证 书 的 应 用 方法 和 特点 的 同时 ,对 本 书 第 2 章 介绍 的 数据 加 密 技术 和 
本 章 的 PKI 和 PMI 技术 有 一 个 较为 直观 的 认识 。 

为 了 便于 实验 ,本 节 直 接 使 用 了 Internet 上 的 认证 系统 进行 介绍 。 当 然 , 读 者 可 以 自己 
安装 一 台 证 书 服务 器 来 为 用 户 提供 证 书 服务 。 例 如 ,可 利用 Windows Server 2003 操作 系 
统 提供 的 “证 书 服务 ?功能 来 安装 一 台 单位 内 部 使 用 的 证 书 服务 器 ,其 应 用 方法 和 效果 与 下 
面 的 介绍 基本 相同 。 


3.5.1 数字 证 书 的 获取 


数字 证 书 可 以 通过 证 书 认证 机 构 获 得 。 有 些 证 书 认证 机 构 是 面向 所 有 网 络 用 户 的 , 例 
如 网 证 通 NETCA 电子 认证 系统 (https://testca. netca. net) ,如 图 3-13 所 示 , 而 有 些 是 由 
公司 内 部 自行 创建 的 ,如 银行 的 数字 证 书 , 这 些 证 书 必须 经 申请 后 才能 够 获取 。 

获得 免费 数字 证 书 的 方法 很 多 ,目前 国内 有 很 多 CA 中 心 提供 试用 型 数字 证 书 , 其 申请 
过 程 在 网 上 即时 完成 ,并 可 以 免费 使 用 。 

(1) 在 浏览 器 中 输入 https://testca. netca. net, 打 开 如 图 3-13 所 示 的 主页 面 后 , 单 击 
“证 书 申请 "链接 ,在 打开 的 如 图 3-14 所 示 的 页 面 中 单 击 “ 试 用 型 个 人 数字 证 书 申请 "链接 。 


& TN 去 
目 让 询 
所 沾 人 数字 证 所! 
试用 型 代码 签名 数字 证 书 申 靖 
1 证 书 中 请 | 证 书 安装 上 证 书 管 是 试用 型 服务 器 数字 证 书 申请 
图 3-13 一 个 可 提供 免费 数字 证 书 的 机 构 图 3-14 证 书 申 请 


(2) 由 于 只 有 安装 了 根 证 书 (证 书 链 ) 的 计算 机 ,才能 完成 后 面 的 申请 步 又 和 正常 使 用 
用 户 在 CA 中 心 申 请 的 数字 证 书 , 所 以 在 出 现 如 图 3-15 所 示 的 页 面 时 , 单 击 “ 安 装 证 书 链 ” 
按钮 。 


团员 申请 试用 型 个 人 数字 证 书 


了 特别 提示 


CR 才能 完成 后 面 的 申请 步 大 和 正 党 使 用 你 在 本 中 心 申 
请 的 数字 证 : 


请 交点 击 以 下 " 安 竺 古书 钴 -图 村， 加 时 多 没有 实 半 过 本 公司 的 试 朋 计 从 证 节 ， 辑 么 系统 检 提 元 引 是 否 竺 
下 40 证 忆 站 外 区 ， 请 过 拓 - 是 -。 拓 后 系统 格 目 动 CA 正 书库 半 到 虹 的 i 复 机 上， 安装 元 成 后 系统 
格 扣 示 亿 证 书 下 攻守 毕 。 点击" 确定 -加 可 

在 成 功 安 半 肥 用 CA 下 蔬 久 后 ， 请 各 点 击 提 委 图标， 进行 下 一 步 拓 作 - 
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图 3-15 安装 证 书 链 


(3) 按照 表单 上 的 提示 ,输入 完整 的 个 人 资料 。 选 择 加 密 服务 提供 程序 (Cryptographic 
Service Provider,CSP) ,其 中 CSP 负责 创建 密 钥 .吊销 密 钥 ,以 及 使 用 密 钥 执行 各 种 加 、 解 
密 操 作 。 每 个 CSP 都 提供 了 不 同 的 实现 方式 。 某 些 提 供 了 更 强大 的 加 密 算法 ,而 另 一 些 则 
包含 硬件 组 件 , 例 如 智能 IC 卡 或 USB 电子 令 牌 。 当 用 户 使 用 特别 的 数字 证 书 存储 介质 (如 
智能 IC 卡 或 USB 电子 令 牌 ) 存 储 数字 证 书 及 其 相应 的 私有 密 钥 时 ,可 以 在 “CSP( 加 密 服 务 
提供 程序 ) "下拉 列表 中 选择 该 存储 介质 生产 厂商 提供 的 CSP, 如 图 3-16 所 示 。 本 例 可 以 选 
择 Microsoft Base Cryptagraphic Provider v1.0 选项 。 


加 csP ( 加 密 服 务 提供 程序 ? 
Base Cryptographic Provider vi.0 密 昌 长 度 : |512 ~v| 


5 rr 5 0 务 ， 语 填写 以 下 各 栏 信息 。 我 们 将 严格 保密 
您 的 个 人 联系 信息 ,保证 不 会 泄 医 给 第 三 方 。 


图 3-16 选择 CSP 


补充 信息 可 以 选 填 有 效 证 件 类 型 .证 件 号 码 、 用 户 的 出 生日 期 \ 用 户 的 性 别 、 用 户 的 住 
址 、 通 信 地 址 、 通 信和 所 在 地 邮政 编码 ,联系 电话 、 传 真 号 码 和 存储 介质 等 。 然 后 单 击 “ 继 续 ” 按 
钮 提交 。 申 请 成 功 后 ,出 现 如 图 3-17 所 示 的 界面 ,请 用 户 牢记 该 证 书 的 业务 受理 号 和 密码 。 


1、 填 写 并 提交 中 请 表格 上 | 语 2、 下 载 并 安装 众 的 数字 证 书 


我 已 经 受理 了 您 的 请 求 并 为 您 签发 了 证 书 ， 下 面 是 您 的 证 书 业务 受 程 号 ， 下 载 证 书 时 要 用 到 该 号 码 ， 
请 牢记 。 同 时 ， 该 号 码 及 守 码 已 经 发 往 您 的 Hp 箱 。 


您 的 证 书 业务 受理 号 《 请 牢记 》: 0102-20061003-00( 
妊 的 客 码 ( 请 牢记 ] : 3099 


[医生 二 名 | 
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图 3-17 申请 成 功 后 的 提示 信息 


(4) 单 击 图 3-17 中 的 “安装 证 书 ” 按 钮 后 ,系统 弹出 一 个 认证 界面 ,要 求 用 户 再 次 输入 
证 书 的 业务 受理 号 和 密码 ,用 户 只 需要 将 图 3-17 中 申请 到 的 号 码 输入 即 可 。 之 后 ,出 现 如 
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图 3-18 所 示 的 提示 信息 。 
您 的 数字 证 节 
悠 已 坚 获 宰 广 东 省 电子 商务 认证 有 限 公司 签发 的 数字 证 书 ,其 包 合 的 基本 信息 如 下 : 
下 名 : 王 群 
国家 : CN 
者 从 :Jiangsu 
城市 : 南京 
电子 邮件 : wq@etongtv.net 


请 点 击 “安装 证 蔬 ” 图 标 ， 安 装 您 的 数字 证 节 


图 3-18 用 户 的 数字 证 书 


(5) 单 击 “ 安 装 证 书 ” 按 钮 ,开始 从 CA 中 心 下 载 证 书 到 用 户 的 计算 机 上 ,并 进行 安装 。 
结束 后 出 现 如 图 3-19 所 示 的 提示 信息 。 


证 书 成 功 下载 
证 书 已 成 功 装 入 应 用 程序 中 。 


关闭 窗口 
图 3-19 证书 已 成 功 安装 


(6) 在 IE 中 查看 数字 证 书 。 通 过 IE 浏览 器 自 带 的 数字 证 书 管理 器 ,可 以 看 到 已 安装 
的 数字 证 书 。 具 体 方法 是 在 打开 Internet Explorer 后 ,选择 “工具 ”一 “Internet 选项 ”命令 ， 
在 打开 的 “Internet 选项 ?对 话 框 中 选择 “内容 ”选项 卡 ,打开 如 图 3-20 所 示 的 对 话 框 。 单 击 
“证 书 ” 按 钮 ,在 打开 的 如 图 3-21 所 示 的 “证 书 ” 对 话 框 中 就 可 以 看 到 当前 证 书 的 列表 。 


Internet 选项 


| 常规 | 安全 | 隐私 | 内容 | 连接 | 程序 | 高 级 
分 好 审查 
EA 人 上 的 Internet 


证 书 


国 人 ERE 证 书 颁发 机 构 和 撕 发 商 的 
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[本 ][ 观 ] 


图 3-20 “Internet 选项 ”对 话 框 中 的 “内 容 ” 选 项 卡 


选 定 要 查看 的 个 人 数字 证 书 , 然 后 单 击 “ 查 看 ”按钮 ,在 打开 的 如 图 3-22 所 示 的 “证 书 ” 
对 话 框 中 可 以 查看 证 书 的 详细 信息 。 


预 其 目的) 其 有》 
| 个 人 | 其 他 人 | 中 级 证 书 顾 发 机 构 | 受信 任 的 根 证 书 博 发 机 构 | 受信 任 的 发 行者 | * 


至 王 群 WETCA Test Indiv. 2007-1-! <> 


| 类 站 才 [CE 
| 


| 
[可 七 
证 书 的 预 骨 目的 
有 > 


坦 看 中) 


图 3-21 显示 当前 的 证 书 列表 


* 有 关 详细 信息 ， 请 参考 证 书 颁 发 机 构 的 说 明 。 
绍 发 给 : 。 王 群 


颁发 者 : 。 JETCA Test Individoal CA 


有 效 起 始 日 期 2006-10-3 到 2007-1-1 
分 您 有 一 个 与 该 证 书 对 应 的 私 钼 。 


图 3-22 查看 数字 证 书 的 详细 信息 


有 了 数字 证 书 以 后 ,可 以 发 送 安全 的 电子 邮件 ,实现 网 上 邮件 的 加 密 和 签名 电子 邮件 ， 
还 可 以 应 用 于 公众 网 络 上 的 商务 活动 中 ,应 用 范围 涉及 需要 身份 认证 及 数据 安全 的 各 个 行 
业 和 领域 ,如 访问 安全 站 点 、 网 上 签约 、 网 上 订购 和 网 上 办 公 等 网 上 的 安全 电子 事务 处 理 和 
安全 电子 交易 活动 。 随 着 信息 化 进程 的 不 断 加 快 ,数字 证 书 的 颁发 机 构 中 心 将 作为 一 种 基 


础 设施 为 信息 的 交换 提供 可 靠 的 保障 。 


3.5.2 用 电子 邮件 验证 数字 证 书 的 应 用 


下 面 以 数字 证 书 在 电子 邮件 中 的 应 用 为 例 ,介绍 数字 证 书 的 使 用 方法 和 特点 。 安 全 电 
子 邮件 证 书 中 包含 证 书 持 有 者 的 电子 邮件 地 址 . 公 钥 及 CA 中 心 的 签名 。 使 用 安全 电子 邮 
件 证 书 可 以 收发 经 过 加 密 和 数字 签名 的 邮件 ,保证 电子 邮件 传输 中 的 机 密 性 、 完 整 性 和 不 可 
否认 性 ,确保 电子 邮件 通信 各 方 身份 的 真实 性 。 证 书 可 以 存储 在 硬盘 或 U 盘 中 。 安 全 电子 
邮件 利用 公 钥 算法 保证 用 户 的 签名 邮件 不 会 被 算 改 ,而 用 户 的 加 密 邮件 除了 邮件 接收 者 以 


外 的 任何 人 都 无 法 阅读 其 中 的 内 容 。 

需要 注意 的 是 ,证 书 中 的 邮件 地 址 必须 与 绑 定 
的 邮件 账号 一 致 ,这 样 就 可 以 对 自己 的 邮件 进行 签 
名 和 加 密 。 

下 面 以 Outlook Express 为 例 , 利 用 前 面 已 申 
请 到 的 数字 证 书 来 实现 安全 电子 邮件 的 收发 。 在 具 
体 设置 之 前 ,首先 在 如 图 3-21 所 示 的 “证 书 ” 对 话 框 
中 选取 已 安装 的 数字 证 书 名 称 , 单 击 “ 高 级 ”按钮 ,在 
打开 的 如 图 3-23 所 示 的 “高 级 选项 ”对 话 框 的 “证 书 
目的 ”列表 中 色 选 “安全 电子 邮件 " 复 选 框 。 

1. 设置 邮箱 地 址 

(1) 打开 Outlook Express, 然 后 选择 “工具 ”一 


高 级 选项 
证 书目 的 
选择 一 个 或 更 多 目的 ， 列 在 “高 级 目的 ”下 。 


[3 
croseft 信任 列表 签名 
昌 ieroxeft 时 间 玲 
导出 格式 
将 证 书 入 到 文件 闪 时 ， 请 计 返 默 认 措 放 导出 格式 。 
导出 格式 外: [DER 编码 二 进 制 x 509 (cer) 


[mm 


图 3-23 选取 “安全 电子 邮件 " 复 选 框 


地 ww 泊 


PRI PMI 技 术 及 应 用 


计算 机 网 络 安 会 投 太 


“账户 ”命令 ,打开 “Internet 账户 ”对 话 框 ,选择 “添加 ”>“ 邮 件 ” 选 项 ,如 图 3-24 所 示 。 


"Outlook Express 


Leno | 
新 闻 gg) 


有 目录 服务 四) 


图 3-24 添加 邮件 账户 


(2) 在 打开 的 如 图 3-25 所 示 的 “Internet 连接 向 导 ” 对 话 框 的 “显示 名 ”文本 框 中 输入 用 
户 的 邮件 显示 姓名 。 


鉴 的 姓名 


FE 悠 的 姓名 将 出 现在 外 发 邮件 的 “发 件 人 ”字段 , 键入 修 


显示 名 @) [E33 ] 
例 $0: John Seith 


图 3-25 输入 电子 邮件 显示 名 称 


(3) 单 击 * 下 一 步 ? 按 钮 ,在 打开 的 如 图 3-26 所 示 的 对 话 框 的 “电子 邮件 地 址 ”文本 框 中 
输入 用 户 的 电子 邮件 地 址 名 称 ,如 wq@etongtv. net。 

(4) 单 击 * 下 一 步 ? 按 钮 ,在 打开 的 如 图 3-27 所 示 的 对 话 框 中 分 别 输入 接收 邮件 服务 器 
和 发 送 邮 件 服务 器 的 域名 或 IP 地 址 ,本 例 为 mail. etongtv. net。 不 同 电子 邮件 系统 的 设置 
可 能 不 同 ,请 用 户 参 阅 相关 的 说 明文 档 。 

(5) 单 击 “ 下 一 步 ” 按 钮 ,在 出 现 的 如 图 3-28 所 示 的 对 话 框 中 输入 该 邮箱 的 密码 。 

(6) 单 击 “ 下 一 步 " 按 钮 ,完成 设置 。 新 添加 的 邮箱 地 址 如 图 3-29 所 示 。 


Internet 连接 向 导 


Internet 电子 邮件 壤 址 电子 部 件 服 务 器 名 


您 的 电子 邮件 地 址 是 别人 用 来 给 您 发 送 电子 邮件 的 地 址 。 


我 的 邮件 接收 服务 器 是 (5) FOP3 ~ 报 务 器 - 


电子 邮件 地 址 EE): 。 waRetongty ne 接收 邮件 FOF3，IWAP 或 HTTP) 了 骤 务 器 (I) 


[nail. etengty net 


SNTP 服务 器 是 你 用 来 发 送 邮件 的 服务 器 。 


发 送 部 件 服务 器 (SNTF) (0) 
[ail etongty aet 


图 3-27 设置 电子 邮件 服务 器 域名 或 IP 


Internet Wail 登录 


键入 Internet 服务 提供 商 给 你 的 帐户 名 称 和 密码 。 全 部 | 邮件 。 新闻 | 目录 服务 


帐户 各) [ 


帐户 类 连接 
nil etonetr.. [i M70] 任何 可 用 连接 
更 码 吧 ) [ee 
记 住 密码 们 


ee 


口 合用 安全 密码 验证 登录 SPA) G) 


图 3-28 输入 邮箱 的 用 户 密码 图 3-29 显示 已 添加 的 邮箱 账户 名 称 


2. 设置 邮箱 与 数字 证 书 的 绑 定 

(1) 打开 Outlook Express, 选择 “工具 ”一 “账号 ”命令 ,在 打开 的 如 图 3-29 所 示 的 
“Internet 账户 ”对 话 框 中 ,选取 已 创建 的 用 于 发 送 安全 电子 邮件 的 邮箱 账号 。 然 后 单 击 “ 属 
性 ”按钮 ,打开 如 图 3-30 所 示 的 对 话 框 ,可 以 看 到 “签署 证 书 ” 和 “加 密 首选 项 ”选项 区 域 , 通 
过 相关 设置 ,可 以 进行 邮件 的 签名 和 加 密 。 

(2) 单 击 “ 签 署 证 书 ” 选 项 区 域 中 的 “选择 ”按钮 ,在 打开 的 如 图 3-31 所 示 的 “选择 默认 
账户 数字 ID” 对 话 框 中 可 以 看 到 在 https://testca. netca. net 上 已 申请 到 的 数字 证 书 。 选 取 
数字 证 书 名 称 , 单 击 “ 确 定 ” 按 钮 ,完成 邮箱 与 证 书 的 绑 定 。 

注意 ,如 果 在 如 图 3-31 所 示 的 对 话 框 中 没有 显示 相关 的 证 书 , 请 确认 用 户 的 证 书 已 经 
正确 安装 且 没 有 过 期 。 同 时 要 确认 用 户 在 Outlook Express 中 所 设置 的 邮箱 与 用 户 在 申请 
数字 证 书 时 所 提供 的 邮箱 一 致 。 查 看 在 申请 数字 证 书 时 所 提供 邮箱 的 方法 为 : 在 Internet 
Explorer 中 ,依次 选择 “工具 ”一 “Internet 选项 ”命令 ,在 打开 的 对 话 框 中 选择 内容” 选项 
卡 , 单 击 “ 证 书 ” 按 钮 ,在 打开 的 对 话 框 中 选取 用 户 的 数字 证 书 , 选 择 “ 查 看 ”>“ 详 细 信 息 ” 命 
令 , 在 打开 的 如 图 3-32 所 示 的 “证 书 ” 对 话 框 中 就 可 以 看 到 邮箱 名 称 。 

(3) 按照 同样 的 方法 ,可 以 在 “加 密 首选 项 ”选项 区 域 中 添加 用 户 自己 的 证 书 ,最 后 如 
图 3-33 所 示 。 
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计算 机 网 络 安 全 技术 


全 ail. etongtv.net 属性 
[ 兴 坑 [服务 器 | 连接 | 安全 ”| 高 多 
答 轨 证 书 
姓 蔡 总 苦味 这 格 决 定 在 用 这 个 帐户 签署 邮件 


mso: Es 
加 密 首选 项 N= 
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选择 Q). 
i [FE 人 舌 发 给 颁发 者 预 骨 目的 好 记 的 名 称 ” 截止 日 其 
巳 王 群 JETCA Te..。 《所 有 > 无 2007-1-1 | 


选择 默认 帐户 数字 ID 区 | 区 
这 天 要 使 用 的 证 书 。 
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妖 府 频 兰 吓 这 梅 决定 在 用 这 个 帐户 签署 邮件 
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证 书 @) 王 群 


算法 3DES 


ER 


图 3-32 查看 申请 证 书 时 使 用 的 邮箱 名 称 图 3-33 完成 证 书 的 添加 


(4) 单 击 “ 确 定 ?按钮 ,完成 邮箱 与 数字 证 书 之 间 的 绑 定 操作 。 

3. 对 电子 邮件 进行 签名 

发 送 加 密 邮 件 前 必须 先 获得 接收 方 的 数字 标识 ,用 户 可 以 首先 让 接收 方 给 自己 发 一 份 
签名 邮件 来 获取 对 方 的 数字 标识 ,或 者 直接 到 CA 中 心 的 网 站 (本 例 为 http://www. cnca. net) 
去 查询 下 载 来 获取 对 方 的 数字 标识 。 

注意 ,也 许 有 读者 会 问 : 使 用 邮件 来 向 对 方 发 送 数字 证 书 难 道 不 存在 安全 隐患 吗 ? 答 
案 是 肯定 的 。 解 决 这 一 问题 ,就 需要 考虑 证 书 的 管理 问题 , 即 如 何 安 全 地 发 送 和 保存 数字 证 
书 。 此 方面 的 内 容 请 读者 阅读 相关 的 资料 。 

(1) 打开 Outlook Express, 选 择 “ 新 邮件 ”, 撰 写 一 份 新 的 电子 邮件 。 在 发 送 之 前 单 击 
窗口 右上 方 的 “签名 ”或 加密” 选项 (本 例 同时 进行 了 “签名 ”和 “加 密 ”) ,如 图 3-34 所 示 。 

(2) 单 击 “ 发 送 ” 按 钮 ,签名 邮件 发 送 成 功 。 当 收 件 人 收 到 并 打开 有 数字 签名 的 邮件 时 ， 


生 请 测试 如 富 效 果 
i 文件 各 编辑 人 查看 WD 插入 QD) 格式 @) 工具 中 邮件 如 ”帮助 如 


[bookGispien 


请 询 式 加 仿效 果 


加 lo 回去 


你 好 : 
这 是 一 份 经 过 加 密 处 理 的 文件 , 请 查收 ! 


图 3-34 对 邮件 进行 签名 和 加 密 处 理 


将 看 到 “数字 签名 邮件 ”的 提示 信息 , 单 击 “ 继 续 ” 按 钮 后 , 才 可 阅读 到 该 邮件 的 内 容 , 如 
图 3-35 所 示 。 


文件 中) 护 辑 E) 查看 如 工具 CD) 邮件 则 ”帮助 人 0 


8 收 件 人 
bookejspi. en 请 测试 加 密 效 果 


< 
发 件 人 : 王 群 收 件 和 人: bookajspi en 
主题 : 请 则 试 加 灾 效 果 


安全 帮助 
数字 签名 邮件 


a 此 邮件 由 发 件 人 数字 签名 。 


他 人 的 数字 签名 邮件 能 够 让 您 确认 一 封 邮件 的 真实 性 一 即 邮件 确实 来 NR 
,AO HR, 签名 邮件 带 有 签名 邮件 图 


和 “安全 警 
”中 得 到 描述 。 如 果 存 在 问题 ， 您 应 该 认为 邮件 已 被 臭 改 ， 或 并 非 来 
ES 加 


型 正在 联机 工作 八 展 误 


图 3-35 已 签名 的 电子 邮件 


如 果 邮 件 在 传输 过 程 中 被 他 人 篡改 或 发 信人 的 数字 证 书 有 问题 ,将 出 现 * 安 全 警告 提 
示 。 收 到 邮件 后 可 以 看 到 ,邮件 的 右边 中 间 有 一 个 小 图 标 , 单 击 该 图 标 就 可 以 看 到 相关 的 数 
字 证 书信 息 ,如 图 3-36 所 示 。 另 外 ,可 以 单 击 “ 查 看 证 书 ” 按 钮 来 查看 该 签名 邮件 的 证 书 
信息 。 

如 果 在 发 送 加 密 邮件 时 没有 得 到 接收 方 的 数字 标识 ,将 会 出 现 如 图 3-37 所 示 的 提示 信 
息 , 发 送 方 只 能 在 单 击 了 “不 要 加 密 ” 按 钮 后 才能 发 送 。 接 收 方 收取 加 密 的 电子 邮件 实际 上 
是 一 个 解密 的 过 程 ,相关 算法 已 经 隐藏 在 后 台 运行 。 
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图 3-36 查看 邮件 的 证 书 


企 | Express 无 法 确定 以 下 收 件 人 的 数 
eolajspi en 夏 池 区 RE 天 


Ed ， 或 取消 发 送 该 


本 至 可 


图 3-37 未 得 到 接收 方 数字 标识 时 的 提示 信息 


通过 前 面 安全 电子 邮件 的 介绍 ,相信 读者 对 加 密 、 签 名 等 安全 技术 的 应 用 有 了 一 个 初步 
的 认识 ,并 增强 了 对 本 章 前 面 理论 知识 的 理解 。 


习 题 


3-1 什么 是 PKI? PKI 与 数据 加 密 算法 之 间 存 在 什么 关系 ? PKI 主要 解决 网 络 安全 
中 的 什么 问题 ? 

3-2 从 消息 的 保密 性 、 完 整 性 、 真 实 性 和 不 可 和 否认 性 等 方面 ,分 析 PKI 与 网 络 安全 之 
间 的 关系 。 

3-3 从 PKI 策 略 . 认 证 机 构 CA ,注册 机 构 RA .证 书 发 布 系统 和 PKI 应 用 等 方面 ,分 析 
PKI 系 统 的 特点 。 

3-4 在 PKI 系 统 中 ,CA 的 作用 是 什么 ? 

3-5 结合 实际 应 用 ,从 安全 服务 器 .注册 机 构 RA、CA 服务 器 、LDAP 目录 服务 器 和 数 


据 库 服务 器 等 方面 ,分 析 CA 各 组 成 部 分 的 功能 特点 。 

3-6 ”联系 实际 ,说 明 CA 之 间 是 如 何 建 立信 任 关系 的 ,并 分 析 不 同 CA 之 间 信 任 模型 
的 特点 。 

3-7 “什么 是 数字 证 书 ? 在 网 络 安全 中 数字 证 书 的 作用 是 什么 ? 

3-8 详细 分 析 数 字 证 书 的 签发 和 撤销 方式 。 

3-9 在 PKI 系 统 中 为 什么 要 进行 数字 证 书 的 更 新 操作 ? 如 何 实现 ? 

3-10 ”联系 PKI 技术 ,介绍 PMI 的 概念 和 应 用 特点 。 

3-11 什么 是 基于 角色 的 访问 控制 方式 ? 

3-12 ”联系 实际 应 用 ,分 析 PKI 与 PMI 之 间 的 关系 。 

3-13 通过 实验 ,掌握 数字 证 书 的 使 用 方法 。 
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第 4 章 身份 认证 技术 


身份 认证 也 称 为 "身份 验证 ?或 身份 鉴别 ”, 是 指 在 计算 机 及 计算 机 网 络 系统 中 确认 操 
作者 身份 的 过 程 。 相 信 读 者 都 听 说 过 这 个 经 典 的 故事 : 一 条 狗 在 计算 机 前 一 边 打 字 一 边 对 
男 一 条 狗 说 ;“ 在 因特网 上 ,没有 人 知道 你 是 一 个 人 还 是 一 条 狗 1” 这 个 故事 听 起 来 虽然 颇具 
讽刺 意味 ,但 却说 明了 一 个 问题 : 在 因特网 上 身份 识别 的 重要 性 和 迫切 性 。 计 算 机 系统 和 
计算 机 网 络 系统 是 一 个 虚拟 的 数字 世界 。 在 这 个 虚拟 数字 世界 中 ,包括 用 户 身份 的 一 切 信 
息 都 是 用 0 和 1 组 成 的 特定 数据 来 表示 ,计算 机 只 能 识别 用 户 的 数字 身份 。 所 以 ,对 用 户 的 
授权 也 是 针对 用 户 数字 身份 进行 的 。 本 章 将 较为 系统 地 介绍 身份 认证 的 相关 技术 及 实现 
方法 。 


4.1 身份 认证 概述 


对 于 一 个 要 求 确认 彼此 身份 的 完整 通信 过 程 来 说 ,身份 认证 是 通信 前 首先 要 完成 的 一 
项 工作 。 身 份 认证 机 制 可 以 识别 网 络 中 各 实体 的 身份 ,防止 出 现 身 份 欺诈 ,保证 参与 通信 的 
实体 之 间 身 份 的 真实 性 。 


4.1.1 身份 认证 的 概念 


身份 认证 (Authentication) 是 系统 审查 用 户 身份 的 过 程 , 从 而 确定 该 用 户 是 否 具有 对 某 
种 资源 的 访问 和 使 用 权限 。 身 份 认证 通过 标识 和 鉴别 用 户 的 身份 ,提供 一 种 判别 和 确认 用 
户 身份 的 机 制 。 身 份 认证 需要 依赖 其 他 相关 技术 ,确认 系统 访问 者 的 身份 和 权限 ,使 计算 机 
和 网 络 系统 的 访问 策略 能 够 可 靠 有 效 地 执行 ,防止 攻击 者 假冒 合法 用 户 获得 资源 的 访问 权 
限 ,从 而 保证 系统 和 数据 的 安全 ,以 及 授权 访问 者 的 合法 利益 。 

计算 机 网 络 中 的 身份 认证 是 通过 将 一 个 证 据 与 实体 身份 绑 定 来 实现 的 。 实 体 可 能 是 用 
户主 机 、 应 用 程序 甚至 是 进程 。 证 据 与 身份 之 间 是 一 一 对 应 的 关系 ,双方 通信 过 程 中 ,一 方 
实体 向 另 一 方 实体 提供 这 个 证 据 证 明 自己 的 身份 , 另 一 方 通 过 相应 的 机 制 来 验证 证 据 ,以 确 
定 该 实体 是 否 与 证 据 所 显示 的 身份 一 致 。 

身份 认证 技术 在 信息 安全 中 处 于 非常 重要 的 地 位 ,是 其 他 安全 机 制 的 基础 。 只 有 实现 
了 有 效 的 身份 认证 ,才能 保证 访问 控制 ,安全 审计 和 入 侵 防 范 等 安全 机 制 的 有 效 实施 。 随 着 
电子 商务 、 网 上 支付 和 网 上 银行 等 业务 的 快速 发 展 ,账户 被 次 用 的 事件 频繁 发 生 , 用 户 对 于 
使 用 网 络 进行 商务 和 支付 缺少 安全 感 ,使 得 计算 机 网 络 在 这 些 领 域 的 发 展 受到 限制 。 提 供 
安全 的 身份 认证 方法 是 解决 这 些 问 题 的 关键 。 

在 现实 生活 中 每 一 个 人 都 有 一 个 真实 的 物理 身份 ,如 居民 身份 证 户口 本 等 。 在 计算 机 


网 络 中 如 何 保证 以 数字 代码 来 标识 用 户 身 份 时 的 真实 性 呢 ? 如 何 通过 技术 手段 保证 用 户 的 
物理 身份 与 数字 身份 是 一 致 的 呢 ? 这 便 是 身份 认证 要 解决 的 问题 。 在 真实 世界 中 ,验证 一 
个 用 户 的 身份 主要 通过 以 下 三 种 方式 。 

(1) 所 知道 的 。 根 据 用 户 所 知道 的 信息 (what you know) 来 证 明 用 户 的 身份 。 假 设 某 
些 信息 只 有 某 个 用 户 知 道 ,如 暗号 、 知 识 和 密码 等 ,通过 询问 这 个 信息 就 可 以 确认 这 一 用 户 
的 身份 。 

(2) 所 拥有 的 。 根 据 用 户 所 拥有 的 东西 (what you have) 来 证 明 用 户 的 身份 。 假 设 某 一 
样 东 西 只 有 某 个 用 户 拥 有 ,如 印章 .身份 证 .护照 和 信用 卡 等 ,通过 出 示 这 些 东西 也 可 以 确认 
用 户 的 身份 。 

(3) 本 身 的 特征 。 直 接 根据 用 户 独 一 无 二 的 体态 特征 (who you are) 来 证 明 用 户 的 身 
份 ,例如 人 的 指纹 ,笔迹 .DNA、 视 网 膜 及 身体 的 特殊 标志 等 。 

在 以 上 三 种 验证 身份 的 方式 中 ,只 有 本 身 的 特征 是 独一无二 且 不 可 伪造 的 ,而 其 他 两 种 
方式 都 会 存在 安全 风险 。 在 网 络 环境 中 ,身份 认证 一 般 有 多 种 方式 。 例 如 , 当 用 户 通 过 银行 
的 ATM( 自 动 柜员 机 ) 取 款 时 ,首先 要 插入 银行 卡 ( 所 拥有 的 ), 然 后 再 输入 其 密码 (所 知道 
的 ), 当 两 个 条 件 同时 具备 时 才能 够 在 ATM 上 取 到 钱 。 但 是 ,这 两 个 条 件 都 具有 安全 风险 ， 
银行 卡 可 能 会 丢失 , 捡 到 银行 卡 的 人 可 能 会 猜 到 或 通过 其 他 手段 得 到 其 密码 。 但 是 ,如 果 这 
里 的 组 合 不 是 “银行 卡 十 密 钥 ”, 而 是 “银行 卡 十 指纹 ”或 “银行 卡 十 视网膜 ”, 那 么 系统 的 安全 
性 将 会 高 出 许多 。 当 然 ,在 网 络 世 界 里 没有 绝对 的 安全 ,无 论 采 取 哪 一 种 或 哪 一 些 安全 认证 
方式 ,总 会 存在 相应 的 安全 风险 。 


4.1.2 认证 、 授 权 与 审计 


在 本 书 的 第 3 章 介绍 了 "访问 控制 ?的 概念 ,用 它 来 表示 与 系统 资源 访问 相关 的 问题 。 
在 这 个 定义 中 涉及 到 了 认证 和 授权 两 部 分 内 容 。 在 计算 机 网 络 安全 领域 ,将 认证 、 授 权 与 审 
计 统 称 为 AAA 或 3A, 即 Authentication( 认 证 )、Authorization( 授 权 ) 和 Accounting( 审 计 ) 。 

1. 认证 

认证 是 一 个 解决 确定 某 一 个 用 户 或 其 他 实体 是 否 被 允许 访问 特定 的 系统 或 资源 的 问 
题 。 在 网 络 中 ,任何 一 个 用 户 或 实体 在 进行 任何 操作 之 前 ,必须 要 有 相应 的 方法 来 识别 用 户 
或 实体 的 真实 身份 。 为 此 ,认证 又 称 为 鉴别 或 确认 。 身 份 认证 主要 鉴别 或 确认 访问 者 的 身 
份 是 否 属实 ,以 防止 攻击 ,保障 网 络 安全 。 

2. 授权 

授权 是 指 当 用 户 或 实体 的 身份 被 确定 为 合法 后 .赋予 该 用 户 的 系统 访问 或 资源 使 用 权 
限 。 只 有 通过 认证 的 用 户 才 允许 访问 系统 资源 ,然而 在 许多 情况 下 , 当 一 个 用 户 通过 认证 后 
通常 不 可 能 赋予 访问 所 有 系统 资源 的 权限 。 例 如 ,在 Windows 操作 系统 中 ,通过 认证 的 系 
统管 理 员 账 户 (Administrator) 可 以 对 系统 配置 进行 设置 ,而 通过 认证 的 临时 账户 (Guest) 
只 能 查看 系统 的 一 些 基 本 信息 。 为 此 ,必须 根据 用 户 身 份 的 不 同 ,给 不 同 的 用 户 授予 不 同 的 
权限 ,限制 通过 认证 的 用 户 的 行为 。 

3. 审计 

审计 也 称 为 记 账 (accounting) 或 审核 ,出 于 安全 考虑 ,所 有 用 户 的 行为 都 要 留 下 记录 ， 
以 便 进行 核查 。 所 采集 的 数据 应 该 包括 登录 和 注销 的 用 户 名 、 主 机 名 及 时 间 。 对 于 安全 要 
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求 较 高 的 网 络 ,审计 数据 应 该 包括 任何 人 所 有 的 试图 通过 身份 认证 和 获得 授权 的 尝试 。 另 
外 ,对 于 以 匿名 (Canonymous) 或 临时 账户 身份 对 公共 资源 的 访问 情况 也 应 该 进行 采集 ,以 便 
于 进行 安全 性 评估 时 使 用 。 

安全 性 评估 (security assessment) 是 审计 操作 的 进一步 扩展 。 在 安全 性 评估 中 ,专业 人 
员 对 网 络 中 容易 受到 入 侵 者 攻击 的 部 分 进行 内 部 检查 ,对 网 络 存在 的 薄弱 环节 进行 阶段 性 
评估 。 通 过 对 评估 结果 的 分 析 , 既 可 以 发 现 网 络 中 存在 的 设计 缺陷 ,也 可 以 为 今后 的 网 络 调 
整 提供 权威 的 数据 支撑 。 

用 户 对 资源 的 访问 过 程 如 图 4-1 所 示 。 


系统 资源 


图 4-1 用 户 访问 系统 资源 的 过 程 


4.2 基于 密码 的 身份 认证 


密码 认证 也 称 为 “口令 认证 ”, 它 是 计算 机 系统 和 网 络 系统 中 应 用 最 早 也 最 为 广泛 的 一 
种 身份 认证 方式 。 


4.2.1 密码 认证 的 特点 


密码 是 用 户 与 计算 机 之 间 及 计算 机 与 计算 机 之 间 共 享 的 一 个 秘密 。 在 通信 过 程 中 ,其 
中 一 方向 另 一 方 提交 密码 ,表示 自己 知道 该 秘密 ,从 而 通过 另 一 方 的 认证 。 密 码 通常 由 一 组 
字符 串 来 组 成 ,为 便于 用 户 记忆 ,一 般 用 户 使 用 的 密码 都 有 长 度 的 限制 。 但 出 于 安全 考虑 ， 
在 使 用 密码 时 需要 注意 以 下 几 点 。 

(1) 不 使 用 默认 密码 。 许 多 系统 和 软件 都 提供 了 一 些 初始 用 户 账号 和 密码 ,例如 许多 
系统 的 初始 用 户 账户 为 Administrator 或 Admin ,对 应 的 密码 为 password 或 干脆 为 空 ( 即 
没有 密码 ) 。 为 了 提高 系统 的 安全 性 ,建议 用 户 不 要 使 用 这 些 默认 账户 及 密码 ,更 不 能 使 用 
空 密码 。 

(2) 设置 足够 长 的 密码 。 密 码 至 少 应 该 包含 有 6 个 以 上 的 数字 或 字母 ,一般 来 说 密码 
越 长 越 安 全 ,这 主要 是 为 了 减少 密码 被 暴力 破解 的 几率 。 

(3) 不 要 使 用 结构 简单 的 词 或 数字 组 合 。 不 管 是 什么 语言 的 名 称 或 是 单词 ,都 可 以 通 
过 一 些 专门 的 扫描 程序 快速 猜 出 密码 。 

(4) 增加 密码 的 组 合 复杂 度 。 密 码 中 尽量 包含 有 数字 ,标点 ` 下 划 线 及 大 小 写字 母 。 从 
安全 角度 考虑 ,凡是 能 使 用 户 的 密码 变 得 难以 破解 的 一 切 手段 都 是 可 取 的 。 


(5) 使 用 加 密 。 一 般 情 况 下 不 建议 用 户 将 密码 写 在 纸 上 或 以 文件 的 形式 存放 在 计算 机 
中 。 如 果 用 户 必须 写 下 密码 的 话 , 应 该 将 其 放 在 加 密 的 文件 夹 里 。 另 外 ,还 有 一 些 专门 的 密 
码 管理 软件 可 以 帮助 网 络 管理 员 管理 大 量 的 设备 或 系统 密码 。 

(6) 避免 共享 密码 。 不 同 的 设备 或 系统 使 用 不 同 的 密码 。 当 同一 个 设备 或 系统 被 多 个 
用 户 管理 时 ,建议 创建 各 自 的 密码 ,而 不 要 共享 。 

(7) 定期 更 换 密码 。 定 期 更 换 密码 是 十 分 有 必要 的 。 一 般 建 议 用 户 至 少 应 该 三 个 月 更 
换 一 次 密码 ,对 于 保密 要 求 很 高 的 设备 和 系统 而 言 , 可 以 使 用 一 次 性 密码 。 

因为 密码 认证 易于 管理 .操作 简单 ,而且 不 需要 额外 的 成 本 ,用 户 只 要 记得 账号 与 密码 ， 
就 可 以 进行 系统 资源 的 访问 。 所 以 ,为 了 防止 非法 用 户 进 入 计算 机 系统 ,最 常用 的 方法 是 密 
码 认证 ,以 保护 计算 机 或 网 络 系统 不 被 人 侵 者 破坏 。 合 法 用 户 利用 正确 的 密码 ,可 以 登录 计 
算 机 和 网 络 系统 ,非法 的 用 户 则 被 拒 之 门 外 。 

传统 的 密码 认证 方式 是 先 建立 用 户 账户 ,然后 为 每 一 个 用 户 账户 分 配 一 个 密码 。 用 户 
登录 首先 发 送 一 个 包含 用 户 账户 与 密码 的 请 求 登录 信息 ,主机 系统 根据 储存 在 用 户 数据 库 
中 的 用 户 账户 与 密码 ,验证 该 账户 及 所 对 应 的 密码 是 否 正确 。 如 果 正 确 ,认证 过 程 结果 , 允 
许 用 户 登 录 , 否 则 拒绝 用 户 登 录 。 

随 着 计算 机 网 络 的 迅速 发 展 和 应 用 系统 的 不 断 增加 ,大 多 数 用 户 不 得 不 通过 网 络 远程 
登录 主机 系统 ,用 户 和 主机 系统 之 间 就 必须 在 网 上 进行 密码 认证 。 而 因特网 上 泛滥 的 网 络 
监听 工具 (如 Sniffer 等 ) 可 以 非常 容易 地 监听 到 网 络 上 传递 的 各 类 明文 信息 ,包括 FTP、 
Telnet 和 POP3 等 网 络 服务 的 账户 及 密码 。 如 果 在 网 络 上 传送 的 账户 和 密码 没有 经 过 加 密 
处 理 ,就 很 容易 被 窃取 ,这 是 一 种 非常 不 安全 的 密码 认证 方式 。 

人 侵 者 经 常 通过 窃取 密码 数据 库 或 监听 网 络 信息 ,获得 合法 用 户 的 账户 及 密码 ,然后 人 
侵 网 络 计 算 机 系统 ,进行 非法 攻击 和 违法 活动 。 为 此 ,就 密码 的 安全 使 用 来 说 ,计算 机 系统 
应 该 具备 下 列 安全 性 。 

(1) 入 侵 者 即使 取得 储存 在 系统 中 的 密码 也 无 法 达到 登录 的 目的 。 这 需要 在 密码 认证 
的 基础 上 再 增加 其 他 的 认证 方式 ,如 地 址 认证 。 

(2) 通过 监听 网 络 上 传送 的 信息 而 获得 的 密码 是 不 能 用 的 。 最 有 效 的 方式 是 数据 
加 密 。 

(3) 计算 机 系统 必须 能 够 发 现 并 防止 各 类 密码 尝试 攻击 。 可 使 用 密码 安全 策略 。 
4.2.2 密码 认证 的 安全 人 性 

由 于 密码 被 窃听 .盗用 和 入侵 等 问题 ,密码 认证 的 安全 性 问题 多 年 来 一 直 是 人 们 讨论 的 
焦点 ,密码 认证 的 操作 方式 直接 影响 着 计算 机 系统 的 安全 性 。 

早 在 1974 年 ,Purdy 就 提 到 为 了 保护 密码 的 安全 ,绝对 不 能 以 明文 的 方式 储存 密码 , 提 
出 将 密码 以 单 向 函数 y= 二 f(x) 转换 后 ,以 加 密 的 方式 将 密码 与 账户 资料 存放 在 一 个 验证 表 
中 。 单 向 函数 应 具有 下 列 特性 。 

(1) 知道 zx 可 以 很 容易 计算 出 y。 

(2) 知道 y 要 算出 zx, 在 计算 上 是 不 可 行 的 。 

此 后 便 有 很 多 关于 密码 认证 的 方法 被 提出 ,这 些 方法 有 的 着 重 在 讨论 加 密 的 运算 ,有 的 强 
调 加 密 和 人 解密 的 效率 ,但 其 目的 都 是 为 了 保护 密码 数据 库 , 即 使 密码 数据 库 文件 被 别人 窍 取 ， 
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要 想 破解 出 密码 的 明文 也 是 非常 困难 的 。 例 如 ,在 UNIX 系统 中 ,为 了 防止 密码 泄露 ,对 密 
码 进行 Hash 函数 变换 后 再 存放 在 /etc/passwd 或 /etc/shadow 系统 密码 文件 中 。 

但 是 ,在 这 种 方式 中 却 忽略 了 重 放 攻 击 。 当 入侵 者 从 网 络 上 窃听 到 合法 用 户 的 账户 和 
密码 ,然后 进行 重 放 攻击 ,主机 系统 将 无 法 判断 密码 认证 请 求 的 信息 是 来 自 合法 用 户 还 是 重 
放 攻 击 。 只 要 密码 认证 的 请 求 信息 被 复制 重 放 ,计算 机 系统 就 会 处 于 不 安全 的 状态 。 所 谓 
“ 重 放 攻 击 (Replay Attacks)”, 也 称 为 “新 鲜 性 攻击 (Freshness Attacks)”, 即 攻击 者 通过 重 
放 消 息 或 消息 片段 达到 对 目标 主机 进行 欺骗 的 攻击 行为 ,其 主要 用 于 破坏 认证 的 正确 性 。 
重 放 攻 击 是 攻击 行为 中 危害 较为 严重 的 一 种 。 例 如 客户 C 通过 签名 授权 银行 B 转账 给 客 
户 A, 如 果 攻 击 者 P 窃听 到 该 消息 ,并 在 稍 后 重 放 该 消息 ,银行 将 认为 客户 需要 进行 两 次 转 
账 ,从 而 使 客户 账户 遭受 损失 。 

使 用 一 次 性 密码 ( 即 “ 一 次 一 密 ”) 技 术 可 以 防止 重 放 攻击 的 发 生 , 这 相当 于 用 户 随身 携 
带 一 个 密码 本 ,按照 与 目标 主机 约定 好 的 次 序 使 用 这 些 密码 ,并 且 每 一 个 密 钥 只 使 用 一 次 ， 
当 密 码 全 部 用 完 后 再 向 系统 管理 员 申 请 新 的 密码 本 。S/Key 认证 系统 就 是 基于 这 种 思想 
的 一 次 性 密码 认证 系统 。 在 S/Key 认证 系统 中 ,用 户 每 一 次 登录 系统 所 用 的 密码 都 是 不 一 
样 的 ,攻击 者 通过 窃听 得 到 的 密码 无 法 用 于 下 一 次 认证 ,这 样 S/Key 认证 系统 很 好 地 防止 
了 密码 重 放 攻击 。 相 对 于 可 重 放 的 密码 认证 系统 ,S/Key 认证 系统 具有 很 好 的 安全 性 ,而 
且 符 合 安全 领域 的 发 展 趋势 。 

Lamport 算法 是 另 一 种 防止 重 放 攻 击 的 有 效 方法 。Lamport 算法 使 用 安全 单 向 Hash 
函数 y=F(z) 的 动态 密码 认证 方法 ,使 用 者 每 一 次 登录 的 密码 都 不 同 。 即 用 安全 单 向 函数 
y 二 F(x) 对 用 户 的 密码 明文 经 过 多 次 迭代 运算 ,产生 一 系列 一 次 性 口令 , 即 

PW; = FN Ti(password), i=1,2,3,%,N 

根据 以 上 函数 关系 ,可 以 计算 出 第 一 个 一 次 性 密码 为 PW ,这 时 用 户 的 密码 明文 经 过 
了 NN 次 迭代 运算 ; 第 二 个 一 次 性 密码 为 PW: ,这 时 用 户 的 密码 明文 经 过 N 一 1 次 迭代 运 
算 。 依 此 类 推 , 得 到 所 有 的 一 次 性 密码 列表 。 

把 第 一 个 一 次 性 密码 PW, 和 和 迭代 次 数 N 存放 到 服务 器 上 。 当 用 户 通过 网 络 对 服务 器 
进行 访问 时 ,服务 器 把 迭代 次 数 m(m 二 N) 发 送 给 用 户 端 ,用 户 端 根据 迭代 次 数 mr 计算 出 下 
一 个 一 次 性 密码 PW,,+1 ,并 通过 网 络 发 送 到 服务 器 。 服 务 器 经 过 一 次 单 向 Hash 函数 运算 ， 
把 结果 和 保留 在 服务 器 上 的 用 户 密码 进行 比较 ,如 果 两 者 相等 ,通过 认证 ,允许 访问 ,否则 拒 
绝 访问 。 如 果 成 功 进行 了 访问 , 则 用 刚 传 过 来 的 一 次 性 密码 PW,。+i 来 蔡 换 掉 服 务 器 端 存 储 
的 用 户 密码 PW ,并 把 迭代 次 数 m 减 1。 

这 样 攻击 者 即使 从 网 络 上 窃取 了 用 户 密码 ,也 无 法 计算 出 下 一 个 正确 的 用 户 密码 ,因为 单 
向 函数 是 不 可 逆 的 ,知道 函数 输出 值 , 无 法 计算 得 到 函数 的 输入 值 。 这 个 方法 必须 依赖 F(x) 
是 一 个 安全 的 函数 ,也 就 是 F(x) 函数 不 可 被 破解 .而且 在 系统 运行 中 不 能 更 换 FCz) 函 数 。 

一 次 性 口令 有 其 安全 的 地 方 , 但 在 实际 应 用 中 很 不 方便 。 如 密码 更 改 问题 ,初始 化 问题 等 。 
本 次 密码 列表 中 的 密码 被 全 部 使 用 后 ,用 户 必须 向 系统 管理 员 重新 申请 新 的 密码 和 迭代 函数 。 


4.2.3 密码 认证 中 的 其 他 问题 


通过 用 户 账 户 和 密码 进行 认证 是 操作 系统 和 应 用 程序 主要 采用 的 身份 认证 方式 。 但 
是 ,在 实际 应 用 中 ,大量 用 户 都 不 可 能 使 用 一 次 性 密码 ,而 是 使 用 大 量 的 弱 密 码 。 大 量 弱 密 


码 的 存在 ,增加 了 网 络 的 不 安全 因素 。 下 面 通过 对 常用 密码 攻击 手段 的 介绍 ,来 说 明 弱 密码 
存在 的 严重 安全 威胁 。 

1. 社会 工程 学 

社会 工程 学 (Social Engineering) 是 一 种 通过 对 受害 者 心理 弱点 、. 本 能 反应 .好奇 心 、 信 
任 和 贪 焚 等 心理 陷阱 进行 的 诸如 欺骗 .伤害 等 危害 手段 ,取得 自身 利益 的 手法 ,近年 来 已 成 
迅速 上 升 甚 至 滥用 的 趋势 。 

运用 社会 工程 学 进行 网 络 攻击 有 很 多 方法 ,并 且 许多 方法 并 不 需要 较 强 的 技术 支持 , 攻 
击 者 只 需要 懂得 如 何 利 用 人 的 弱点 (如 轻信 健忘 、 胆 小 和 贪 禁 等 ) 就 可 以 轻易 地 潜入 防护 最 
严密 的 网 络 系统 。 例 如 ,“ 网 络 钓 鱼 ” 就 是 近来 社会 工程 学 的 代表 应 用 ,在 “网 络 钓 鱼 ” 中 利用 
欺骗 性 的 电子 邮件 和 伪造 的 网 络 站 点 来 进行 诈骗 ,专门 骗取 电子 邮件 接收 者 身份 证 号 .银行 
密码 和 信用 卡 卡 号 等 个 人 信息 ,然后 再 利用 这 些 信息 从 事 非法 行为 。 

2. 按键 记录 软件 

按键 记录 软件 是 一 种 间谍 软件 , 它 以 木马 方式 植 入 到 用 户 的 计算 机 后 ,可 以 偷偷 地 记录 
下 用 户 的 每 次 按键 动作 ,并 按 预定 的 计划 把 收集 到 的 信息 通过 电子 邮件 等 方式 发 送出 去 。 
例如 ,如 果 用 户 在 运行 有 按键 记录 软件 的 计算 机 上 登录 了 网 上 银行 ,那么 用 户 的 账户 和 密码 
无 疑 就 暴露 给 了 犯罪 分 子 , 后 果 可 想 而 知 。 

3. 搭 线 窃听 

攻击 者 通过 窃听 网 络 数据 ,如 果 密 码 使 用 明文 传输 ,可 被 非法 获取 。 目 前 ,在 IP 网 络 中 
Telnet、FTP 和 HTTP 等 大 量 的 通信 协议 用 明文 传输 密码 ,这 意味 着 在 客户 端 和 服务 器 端 
之 间 传 输 的 所 有 信息 (其 中 包括 明文 密码 和 用 户 数据 ) 都 有 可 能 被 窃取 。 

4. 字典 攻击 

大 多 数 用 户 习 惯 于 选取 用 户 的 姓名 、 生 日 及 相关 信息 等 容易 记忆 的 信息 作为 密码 ,由 此 
产生 的 密码 容易 被 攻击 者 猜 到 。 攻 击 者 可 以 把 所 有 用 户 可 能 选取 的 密码 列举 出 来 生成 一 个 
文件 ,这 样 的 文件 被 称 为 “字典 ”。 当 攻击 者 得 到 了 一 些 与 密码 有 关 的 可 验证 信息 后 ,就 可 以 
结合 字典 进行 一 系列 的 运算 ,来 猜测 用 户 可 能 的 密码 ,并 利用 得 到 的 信息 来 验证 猜测 的 正确 
性 。 为 此 ,许多 系统 要 求 用 户 在 密码 中 使 用 特殊 字符 ,以 增加 密码 的 安全 性 。 

5. 暴力 破解 

暴力 破解 也 称 为 “ 蛮 力 破解 ?或 “ 穷 举 攻击 ”, 是 一 种 特殊 的 字典 攻击 。 在 暴力 破解 中 所 
使 用 的 字典 是 字符 串 的 全 集 ,对 可 能 存在 的 所 有 组 合 进行 猜测 ,直到 得 到 正确 的 信息 为 止 。 
从 理论 上 讲 , 只 要 计算 机 的 处 理 能 力 足 够 强 、 时 长 允许 ,所 有 密码 都 是 可 以 被 破解 的 。 如 果 
用 户 的 密码 较 短 , 可 以 在 较 短 的 时 间 内 被 穷 举 出 来 。 所 以 许多 系统 建议 用 户 使 用 长 密码 。 

6. 宕 探 

窥探 是 攻击 者 利用 与 被 攻击 系统 接近 的 机 会 ,安装 监视 设备 或 亲自 窥探 合法 用 户 输入 
的 账户 和 密码 。 罕 探 还 包括 攻击 者 在 用 户 计算 机 中 植 人 的 木马 。 

7. 垃圾 搜索 

垃圾 搜索 是 攻击 者 通过 搜索 被 攻击 者 的 废弃 物 ( 如 硬盘 、U 盘 和 光盘 等 ) ,得 到 与 攻击 
系统 有 关 的 信息 。 如 果 用 户 将 账户 和 密码 写 在 纸 上 , 这 些 记录 用 户 私密 信息 的 纸张 没有 被 
安全 保管 , 则 很 有 可 能 成 为 攻击 者 的 搜索 对 象 。 
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4.3 基于 地 址 的 身份 认证 


在 计算 机 网 络 中 , 除 密码 外 ,地 址 是 应 用 较为 广泛 的 一 种 身份 认证 方式 。 基 于 地 址 的 身 
份 认证 的 优点 是 不 需要 使 用 密码 来 验证 身份 ,可 以 防止 密码 窃听 现象 的 发 生 。 


4.3.1 地 址 与 身份 认证 


在 计算 机 网 络 出 现 的 早期 ,由 于 计算 机 网 络 的 规模 比较 小 ,应 用 比较 单一 ,所 以 网 络 地 
址 很 自然 地 成 为 彼此 之 间 建 立信 任 关系 的 主要 依据 。 例 如 UNIX 操作 系统 中 的 rlogin .rsh 
和 rcp 等 一 系列 远程 计算 工具 都 是 依据 对 方 的 地 址 来 判断 身份 的 。 

Internet 中 主机 之 间 的 通信 是 利用 IP 地 址 来 认证 的 ,所 以 在 Internet 中 主机 的 唯一 身 
份 就 是 IP 地 址 。 一 方面 通过 IP 地 址 的 规范 管理 ,确保 Internet 的 有 序 运行 和 发 展 ; 另 一 方 
面 通过 对 IP 地 址 的 控制 ,可 以 限制 主机 之 间 的 通信 。 将 IP 地 址 作为 身份 认证 的 依据 ,在 理 
论 上 是 可 行 的 ,但 在 实际 应 用 中 是 不 可 靠 的 。IP 地 址 可 以 用 于 广义 的 身份 认证 ,例如 在 发 
布 Web 网 站 时 ,可 以 限制 只 允许 某 一 个 IP 地 址 段 的 用 户 能 够 访问 ,在 进行 防火 墙 的 配置 时 
可 以 限制 某 些 IP 地 址 段 的 用 户 无 法 访问 外 部 网 络 等 。 但 是 ,由 于 IP 地 址 与 系统 资源 之 间 ， 
以 及 IP 地 址 与 用 户 或 设备 之 间 没 有 确定 的 一 一 对 应 关系 ,而 认证 的 目的 是 为 授权 提供 身份 
的 真实 性 ,只 有 通过 认证 的 用 户 才 可 以 访问 系统 资源 ,所 以 将 IP 地 址 用 于 身份 认证 是 不 安 
全 的 ,也 是 不 可 行 的 。 

计算 机 网 络 中 的 地 址 可 以 分 为 逻辑 地 址 和 物理 地 址 两 大 类 ,其 中 IP 地 址 属于 逮 辑 地 
址 ,而 设备 的 硬件 地 址 (如 网 卡 的 MAC 地 址 等 ) 属 于 物理 地 址 。 凡 是 工作 于 OSI 七 层 模型 
的 第 二 层 ( 数 据 链 路 层 ) 的 设备 都 拥有 一 个 全 球 唯一 的 物理 地 址 ,这 个 地 址 就 是 MAC 地 址 。 
由 于 MAC 地 址 的 唯一 性 ,所 以 在 理想 条 件 下 可 以 利用 MAC 地 址 进行 身份 认证 。 例 如 ,在 
Cisco 交换 机 上 可 以 通过 以 下 命令 进行 主机 MAC 地 址 与 交换 机 端口 的 绑 定 。 

Switch(config)#int fa0/1 (进入 交换 机 的 Fa0/1 端口 ) 

Switch(config-if) # switchport port-security (启动 端口 安全 模式 ) 

Switch(config-if) # switchport port-security maximum 1 (设置 该 端口 的 最 大 可 用 地 址 为 1) 

Switch(config-if) # switchport port-security mac-address 〈 设 置 该 端口 绑 定 的 MAC 地 址 ) 

通过 以 上 设置 , 当 交 换 机 的 Fa0/1 端口 接收 到 通信 请 求 时 ,交换 机 首先 要 检查 收 到 的 
数据 帧 的 MAC 地 址 与 该 端口 已 绑 定 的 MAC 地 址 是 否 相 同 。 如 果 相 同 认 证 通过 ,允许 进 
行 通信 ,否则 认证 失败 ,拒绝 进行 通信 。 

通过 前 面 的 例子 可 以 看 出 ,物理 地 址 在 身份 认证 中 似乎 是 可 靠 性 。 但 事实 上 并 非 如 此 ， 
不 但 今天 的 主流 操作 系统 (如 Windows 2000/XP/2003/Vista、Linux 等 ) 可 以 直接 修改 网 卡 
的 MAC 地 址 ,而 且 近 一 段 时 间 在 网 络 中 泛滥 的 ARP 欺骗 病毒 可 以 伪造 任何 一 个 MAC 地 
址 进行 攻击 。 所 以 ,基于 地 址 的 认证 方式 其 可 靠 程度 越 来 越 低 。 


4.3.2 智能 卡 认证 


智能 卡 (Smart Card) 也 称 IC 卡 ,是 由 一 个 或 多 个 集成 电路 芯片 (包括 固化 在 芯片 中 的 
软件 ) 组 成 的 设备 ,可 以 安全 地 存储 密 钥 、 证 书 和 用 户 数据 等 敏感 信息 ,防止 硬件 级 别 的 富 


改 。 智 能 卡 芯片 在 很 多 应 用 中 可 以 独立 完成 加 密 、 解 密 、 身 份 认证 和 数字 签名 等 对 安全 较为 
敏感 的 计算 任务 ,从 而 能 够 提高 应 用 系统 抗 病毒 攻击 及 防止 敏感 信息 的 泄漏 。 

智能 卡 具 有 硬件 加 密 功能 ,所 以 安全 性 较 高 。 每 个 用 户 持 有 一 张 智 能 卡 ,智能 卡 存储 用 
户 个 人 的 秘密 信息 ,同时 在 验证 服务 器 中 也 存放 该 秘密 信息 。 进 行 认证 时 ,用 户 输入 PIN 
(个 人 身份 识别 码 ) ,智能 卡 认证 PIN 成 功 后 , 即 可 读 出 智能 卡 中 的 秘密 信息 ,进而 利用 该 秘 
密 信 息 与 主机 之 间 进 行 认证 。 

智能 卡 认 证 是 基于 what you have 的 手段 ,通过 智能 卡 硬件 不 可 复制 来 保证 用 户 身份 
不 会 被 仿冒 。 基 于 智能 卡 的 认证 方式 是 一 种 双 因 素 的 认证 方式 ,首先 认证 PIN( 可 以 理解 为 
具有 唯一 性 的 地 址 ) , 当 PIN 通过 认证 后 再 认证 智能 卡 。 所 以 ,除非 PIN 和 智能 卡 被 同时 窃 
取 , 和 否则 用 户 不 会 被 冒充 。 

本 节 提 到 了 “ 双 因 素 认证 ”的 概念 。 所 谓 双 因 素 身份 认证 ,简单 地 讲 是 指 在 身份 认证 过 
程 中 至 少 提供 两 个 认证 因素 ,如 “密码 十 PIN” 等 。 双 因素 认证 与 利用 ATM( 自 动 柜员 机 ) 取 
款 很 相似 : 用 户 必须 持 银 行 卡 ( 认 证 设备 ) ,再 输入 密码 ,才能 提取 其 账户 中 的 款项 。 双 因素 
认证 提供 了 身份 认证 的 可 靠 性 。 


4.4 生物 特征 身份 认证 


前 面 分 别 介绍 了 基于 密码 的 身份 认证 和 基于 地 址 的 身份 认证 ,从 技术 发 展 来 看 ,这 两 种 
传统 的 认证 方式 都 存在 缺陷 ,取而代之 的 将 是 目前 正在 兴起 的 生物 特征 的 认证 方式 。 


4.4.1 生物 特征 认证 的 概念 


生物 特征 认证 又 称 为 “生物 特征 识别 ”, 是 指 通过 计算 机 利用 人 体 固 有 的 生理 特征 或 行 
为 特征 鉴别 个 人 身份 。 在 信息 安全 领域 ,推动 基于 生物 特征 认证 的 主要 动力 来 自 于 基于 密 
码 认证 的 不 安全 性 , 即 利用 生物 特征 认证 来 替代 密码 认证 。 

人 的 生理 特征 与 生 俱 来 ,一 般 是 先天 性 的 。 行 为 特征 则 是 习惯 养 成 ,多 为 后 天 形成 。 生 
理 和 行为 特征 统称 为 生物 特征 。 常 用 的 生物 特征 包括 脸 像 .虹膜 、 指 纹 、 声 音 和 笔迹 等 。 同 
时 , 随 着 现代 生物 技术 的 发 展 ,尤其 对 人 类 基因 研究 的 重大 突破 ,研究 人 员 认 为 DNA 识别 
技术 将 是 未 来 生物 识别 技术 的 又 一 个 发 展 方向 。 满 足以 下 条 件 的 生物 特征 才 可 以 用 来 作为 
进行 身份 认证 的 依据 。 

。 普遍 性 。 每 一 个 人 都 应 该 具有 这 一 特征 。 

。 唯 一 性 。 每 一 个 人 在 这 一 特征 上 有 不 同 的 表现 。 

。 稳定 性 。 这 一 特征 不 会 随 着 年 龄 的 增长 和 生活 环境 的 改变 而 改变 。 

。 易 采 集 性 。 这 一 特征 应 该 便于 采集 和 保存 。 

。 可 接受 性 。 人 们 能 够 接受 这 种 生物 识别 方式 。 

生物 特征 认证 的 核心 在 于 如 何 获取 这 些 特征 ,并 将 其 转换 为 数字 形式 存储 在 计算 机 中 ， 
并 利用 可 靠 的 匹配 算法 来 完成 验证 与 识别 个 人 身份 的 过 程 。 生 物 识 别 系统 包括 采集 、 解 码 、 
比 对 和 匹配 几 个 处 理 过 程 。 

与 传统 的 密码 .地址 等 认证 方式 相 比 ,生物 特征 认证 具有 依附 于 人 体 、 不 易 伪 造 和 不 易 
模仿 等 特点 和 优势 ,已 成 为 身份 认证 技术 中 发 展 最 快 .应 用 前 景 最 好 的 一 项 关键 技术 。 国 际 
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民用 航空 组 织 已 建议 187 个 成 员 将 脸 像 . 虹 膜 或 指纹 等 生物 特征 放 和 护照。 与 此 同时 ,全球 
生物 特征 技术 产品 也 迅速 发 展 起 来 。 


4.4.2 指纹 认证 


利用 人 的 生物 特征 可 以 实现 “以 人 识 人 ”, 其 中 指纹 是 人 的 生物 特征 中 一 种 重要 的 表现 
形式 ,具有 “人 人 不 同 ” 和 “终身 不 变 ” 的 特征 ,以 及 附属 于 人 的 身体 的 便利 性 和 不 可 伪造 的 安 
全 性 。 

指纹 识别 技术 也 称 为 “指纹 认证 技术 ”, 早 在 1858 年 印度 的 William Hershel 事 士 就 使 
用 指纹 和 掌 纹 作为 合同 签名 的 一 种 形式 。 目 前 ,在 全 球 范围 内 都 建立 了 指纹 鉴定 机 构 及 罪 
犯 指纹 数据 库 , 我 国 早 在 20 世纪 80 年 代 的 重点 人 口 管理 中 就 开始 采集 具有 犯罪 前 科 的 重 
点 人 口 的 指纹 ,并 相继 建立 了 全 国 范围 内 联网 的 指纹 比 对 数据 库 。 早 期 的 指纹 认证 主要 用 
于 司法 鉴定 ,现在 已 广泛 应 用 于 门禁 系统 、 考 勤 、 部 分 笔记 本 电脑 和 移动 存储 设备 。 认 证 技 
术 在 不 断 成 熟 ,应 用 范围 也 在 不 断 拓 宽 。 

指纹 认证 的 特点 如 下 。 

(1) 独特 性 。19 世纪 末 , 英 国学 者 享 利 提 出 了 基于 指纹 特征 进行 认证 的 原理 和 方法 。 
根据 享 利 的 理论 ,一 般 人 的 指纹 在 出 生 后 的 9 个 月 便 成 形 , 并 终生 不 会 改变 ; 每 一 个 指纹 都 
有 70 一 90 个 基本 特征 点 。 另 外 , 据 最 近 的 一 项 统计 ,在 全 世界 60 多 亿 人 口中 ,没有 两 个 人 
的 指纹 是 完全 相同 的 。 因 此 ,指纹 具有 高 度 的 不 可 重复 性 ,如 图 4-2 所 示 。 


图 4-2 不 同 的 指纹 形状 


(2) 稳定 性 。 指 纹 纹 疹 的 样式 终端 不 变 。 指 纹 不 会 随 着 人 的 年 龄 .健康 程度 的 变化 而 

(3) 方便 性 。 目 前 已 建 有 标准 化 的 指纹 样本 库 , 以 方便 指纹 认证 系统 的 开发 。 同 时 ,在 
痢 纹 识 别 系统 中 用 于 指纹 采集 的 硬件 设备 也 较 容易 实现 。 

如 图 4-3 所 示 ,指纹 识别 的 过 程 包括 两 个 子 过 程 : 指纹 注册 过 程 和 指纹 比 对 过 程 。 


人 注册 过 各 
上 [ 指纹 采集 上- 图像 增强 上 | 提取 特 伍 值 ] -~ 特征 值 模板 入 库 ] ， 
1 1 


|】 | 指纹 采集 上 | 图 像 增强 | 提取 特征 值 | “| 。 比 对 匹配 
! 指纹 比 对 过 程 


4-3 指纹 识别 系统 的 组 成 


Q@ 指纹 采集 。 通 过 指纹 传感器 获取 人 的 指纹 图 像 数据 ,其 本 质 是 指纹 成 像 。 指 纹 采集 
大 都 通过 各 种 采集 仪 ,可 分 为 光学 和 COMS 两 类 ,其 中 光学 采集 仪 采集 图 像 失真 小 ,但 成 本 
较 高 ; 而 COMS 采集 仪 成 本 低 , 但 图 像 质量 较 差 。 

@ 图 像 增强 。 根 据 某 种 算法 ,对 采集 到 的 指纹 图 案 进行 效果 增强 ,以 利于 后 续 对 指纹 
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@ 提取 特征 值 。 对 指纹 图 案 上 的 特征 信息 进行 选择 
4 
二 = 


(如 图 4-4 所 示 ) ,编码 和 形成 二 进 制 数 据 的 过 程 。 

@ 特征 值 模板 入 库 。 根 据 指纹 算法 的 数据 结构 , 即 
特征 值 模板 ,对 提取 的 指纹 特征 值 进行 结构 化 并 保存 
起 来 。 

@ 比 对 匹配 。 把 当前 取得 的 指纹 特征 值 集合 与 已 存 “ 国 上 时 ES 
储 的 指纹 特征 值 模板 进行 匹配 的 过 程 。 图 4-4 指纹 图 案 信 息 的 选择 


4.4.3 虹膜 认证 


作为 生物 特征 认证 的 依据 ,指纹 的 应 用 已 经 比较 广泛 ,然而 指纹 识别 易 受 脱皮 、 出 汗 和 
干燥 等 外 界 条 件 的 影响 ,并 且 这 种 接触 式 的 识别 方法 要 求 用 户 直接 接触 公用 的 传感器 ,给 使 
用 者 带 来 了 不 便 。 例 如 ,在 非典 型 性 肺炎 、 禽 流感 等 疾病 的 传播 期 间 ,如 果 使 用 这 种 直接 接 
触 式 的 认证 就 会 存在 一 定 困难 。 为 此 , 非 接 触 式 的 生物 特征 认证 将 成 为 身份 认证 发 展 的 必 
然 趋势 。 与 脸 像 声音 等 其 他 非 接 触 式 的 身份 鉴别 方法 相 比 ,虹膜 以 其 更 高 的 准确 性 、 可 采 
集 性 和 不 可 伪造 性 ,成 为 目前 身份 认证 研究 和 应 用 的 热点 。 

基于 虹膜 的 身份 认证 要 求 对 被 认证 者 的 虹膜 特征 进行 现场 实时 采集 ,用 户 在 使 用 虹膜 
进行 身份 认证 时 无 需 输入 ID 号 等 标志 信息 。 

1993 年 英国 剑桥 大 学 计算 机 实验 室 的 J.G. Daugman 率先 研制 出 基于 Gabor 变换 的 虹 
膜 识别 算法 ,实现 了 一 个 高 性 能 的 虹膜 识别 系统 。1994 年 澳大利亚 的 R. P. Wildes 研制 出 
基于 图 像 配 准 技术 的 虹膜 识别 系统 。1997 年 , W. W. Boles 等 人 用 小 波 变换 进行 虹膜 的 识 
别 。 虹 膜 身份 识别 技术 涉及 数学 ,信号 处 理 , 模 式 识别 .图 像 处 理 等 多 个 领域 ,是 当今 计算 机 
应 用 领域 的 研究 课题 之 一 。 

从 理论 上 讲 , 虹 膜 认 证 是 基于 生物 特征 的 认证 方式 中 最 好 的 一 种 认证 方式 。 虹 膜 (眼睛 
中 的 彩色 部 分 ) 是 眼球 中 包围 瞳孔 的 部 分 (如 图 4-5 所 示 ) ,上面 布 满 极其 复杂 的 锯齿 网 络 状 
花纹 ,而 每 个 人 虹膜 的 花纹 都 是 不 同 的 。 虹 膜 识别 技术 就 是 应 用 计算 机 对 虹膜 花纹 特征 进 
行 量化 数据 分 析 , 用 以 确认 被 识别 者 的 真实 身份 。 


图 4-5 虹膜 在 眼球 中 的 位 置 
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每 一 个 人 的 虹膜 具有 随机 的 细节 特征 和 纹理 图 像 。 这 些 特 征 在 人 的 一 生 中 保持 相对 的 
稳定 性 ,不 易 改 变 。 据 统计 ,到 目前 为 止 ,虹膜 认证 的 错误 率 在 所 有 的 生物 特征 识别 中 是 最 
低 的 (相同 纹理 的 虹膜 出 现 的 概率 是 10“)。 所 以 虹膜 识别 技术 在 国际 上 得 到 广泛 的 关注 ， 
有 很 好 的 应 用 前 景 。 

如 图 4-6 所 示 ,一 个 虹膜 识别 系统 一 般 由 4 部 分 组 成 : 虹膜 图 像 的 采集 、 预 处 理 、 特 征 提 
取 及 模式 匹配 。 


1 
1 
上 一 | 特征 提取 
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虹膜 图 像 采 集 | “| 虹膜 图 像 预 处 理 | 。 | 模式 匹配 上 ~| 匹配 结果 


虹膜 图 像 数 据 库 
图 4-6 虹膜 识别 系统 的 组 成 


@ 虹膜 图 像 采集 。 虹 膜 图 像 采集 是 虹膜 识别 系统 中 一 个 重要 的 且 困 难 的 步骤 。 因 为 
虹膜 尺寸 比较 小 且 颜 色 较 暗 , 所 以 用 普通 的 照相 机 来 获取 质量 好 的 虹膜 图 像 是 比较 困难 的 ， 
必须 使 用 专门 的 采集 设备 。 

@ 虹膜 图 像 的 预 处 理 。 这 一 操作 分 为 虹膜 定位 和 虹膜 图 像 的 归 一 化 两 个 步骤 。 其 中 ， 
虹膜 定位 就 是 要 找 出 瞳孔 与 虹膜 之 间 ( 内 边界 )、 虹 膜 与 巩膜 之 间 ( 外 边界 ) 的 两 个 边界 ,再 通 
过 相关 的 算法 对 获得 的 虹膜 图 像 进行 边缘 检测 。 对 虹膜 图 像 进行 归 一 化 是 由 于 光照 强度 及 
虹膜 震颤 的 变化 ,瞳孔 的 大 小 会 发 生变 化 ,而 且 在 虹膜 纹理 中 发 生 的 弹性 变形 也 会 影响 虹膜 
模式 匹配 。 因 此 ,为 了 实现 精确 的 匹配 ,必须 对 定位 后 的 虹膜 图 像 进行 归 一 化 ,补偿 大 小 和 
瞳孔 缩放 引起 的 变异 。 

@ 虹膜 纹理 的 特征 提取 。 采 用 转换 算法 将 虹膜 的 可 视 特 征 转换 成 为 固定 字 节 长 度 的 
虹膜 代码 。 

@ 模式 匹配 。 识 别 系 统 将 生成 的 代码 与 代码 数据 库 中 的 虹膜 代码 逐一 比较 , 当 相 似 率 
超过 某 一 个 预 设 置 值 时 ,系统 判定 检测 者 的 身份 与 某 一 个 样本 相符 ,否则 系统 将 认为 检测 者 
的 身份 与 该 样本 不 相符 ,接着 进入 下 一 轮 的 比较 。 

以 上 过 程 ,虽然 介绍 起 来 比较 简单 ,但 实现 起 来 非常 复杂 ,需要 解决 大 量 的 技术 问题 。 


4.5 零 知 识 证 明 身 份 认 证 


在 前 面 介 绍 的 身份 认证 过 程 中 ,一 般 验 证 者 在 收 到 证 明 者 提供 的 认证 账户 和 密码 后 ,在 
数据 库 中 进行 核对 ,如 果 在 验证 者 的 数据 库 中 找到 了 证 明 者 提供 的 账户 和 密码 ,该 认证 通 
过 ,和 否则 认证 失败 。 在 这 一 认证 过 程 中 ,验证 者 必须 事先 知道 证 明 者 的 账户 和 密码 ,这 显然 
会 带 来 不 安全 因素 。 那 么 ,能 否 实现 在 验证 者 不 需要 知道 证 明 者 任何 信息 (包括 用 户 账户 和 


密码 ) 的 情况 下 就 能 够 完成 对 证 明 者 的 身份 认证 呢 ? 零 知 识 证 明 身 份 认 证 就 可 以 实现 这 一 
功能 。 


4.5.1 零 知 识 证 明 身 份 认 证 的 概念 


零 知 识 证 明 (zero-knowledge proof) 是 在 20 世纪 80 年 代 初出 现 的 一 种 身份 认证 技术 。 
零 知 识 证 明 是 指证 明 者 能 够 在 不 向 验证 者 提供 任何 有 用 信息 的 情况 下 ,使 验证 者 相信 某 个 
论断 是 正确 的 。 

零 知 识 证 明 实 质 上 是 一 种 涉及 两 方 或 多 方 的 协议 , 即 两 方 或 多 方 完成 一 项 任务 所 需 采 
取 的 一 系列 步 又。 证 明 者 向 验证 者 证 明 并 使 验证 者 相信 自己 知道 某 一 消息 或 拥有 某 一 物 
品 , 但 证 明 过 程 不 需要 (也 不 能 够 ) 向 验证 者 泄漏 。 零 知识 证 明 分 为 交互 式 零 知识 证 明和 非 
交互 式 零 知 识 证 明 两 种 类 型 。 下 面 给 出 一 个 零 知 识 证 明 的 例子 。 

用 户 A 要 向 用 户 B 证 明 自 己 是 某 一 间 房 子 的 主人 , 即 A 要 向 B 证 明 自 己 能 够 正常 进 
和 该 房间 。 现 在 假设 该 房间 只 能 用 钥匙 打开 锁 后 进入 ,而 其 他 任何 方法 都 打 不 开 。 这 时 有 
两 种 办 法 : 一 种 方式 是 A 把 钥匙 交 给 B,B 拿 着 这 把 钥匙 打开 该 房间 的 锁 , 如 果 也 能 够 打开 
则 证 明 A 是 该 房间 的 主人 ; 另 一 种 方式 是 B 确定 该 房间 内 有 一 个 物品 ,只 要 A 用 自己 的 钥 
是 打开 该 房间 后 ,将 该 物品 拿 出 来 出 示 给 B, 从 而 证 明 A 是 该 房间 的 主人 。 其 中 ,后 一 种 方 
式 属于 零 知识 证 明 。 虽 然 两 种 方式 都 证 明了 用 户 A 是 该 房子 的 主人 ,但 在 后 一 种 方式 中 用 
户 B 始终 没有 得 到 用 户 A 的 任何 信息 (包括 没有 拿 到 用 户 A 的 钥匙 ) ,从 而 可 以 避免 用 户 A 
的 信息 (钥匙 ) 被 泄露 。 

下 面 ,结合 公开 密 钥 算法 来 介绍 零 知识 证 明 的 特点 。 用 户 A 拥有 用 户 B 的 公 钥 ,现在 
用 户 BB 需要 向 A 证 明 自 己 的 身份 是 真实 的 。 同 样 有 两 种 证 明 的 方法 : 一 种 方式 是 用 户 B 
把 自己 的 私 钥 交 给 A,A 用 这 个 私 钥 对 某 个 数据 进行 加 密 操 作 ,然后 将 加 密 后 的 密 文 用 B 
的 公 钥 来 解密 ,如 果 能 够 成 功 解密 , 则 证 明 用 户 B 的 身份 是 真实 的 。 另 一 种 方式 是 用 户 A 
给 出 一 个 随机 值 ,B 用 自己 的 私 钥 对 该 随机 值 进 行 加 密 操作 ,然后 把 加 密 后 的 数据 交 给 A。 
A 用 B 的 公 钥 进行 解密 操作 ,如 果 能 够 得 到 原来 的 随机 值 , 则 证 明 用 户 B 的 身份 是 真实 的 。 
其 中 ,后 一 种 方式 属于 零 知识 证 明 ,在 整个 过 程 中 B 没 有 向 A 提供 自己 的 私 钥 。 

零 知识 证 明 当 中 验证 者 B 选择 随机 数 , 证 明 者 A 根据 随机 数 出 示 不 同 的 证 明 。 一 方面 
人 A 不 能 欺骗 BB, 因 为 他 的 随机 数 要 求 使 用 其 私 钥 运 算 ; 另 一 方面 B 也 不 能 伪装 A 来 欺骗 C， 
因为 随机 数 将 由 C 选择 ,B 不 能 重 发 他 与 A 之 间 的 验证 信息 。 证 明 者 欺骗 验证 者 的 概率 随 
着 随机 数 选择 的 位 数 和 验证 次 数 的 增多 而 减少 。 


4.5.2 交互 式 零 知识 证 明 


零 知 识 证 明 协 议 可 定义 为 证 明 者 (Prover, 简 称 P) 和 验证 者 (Verifier ,简称 V) 。 交 互 式 
零 知 识 证 明 是 由 这 样 一 组 协议 确定 的 : 在 零 知识 证 明 过 程 结束 后 ,P 只 告诉 V 关于 某 一 个 
断言 成 立 的 信息 ,而 V 不 能 从 交互 式 证 明 协 议 中 获得 其 他 任何 信息 。 即 使 在 协议 中 使 用 欺 
骗 手段 ,V 也 不 可 能 揭露 其 信息 。 这 一 概念 其 实 就 是 零 知 识 证 明 的 定义 。 

如 果 一 个 交互 式 证 明 协 议 满 足以 下 3 点 ,就 称 此 协议 为 一 个 零 知 识 交互 式 证 明 协 议 。 

。 完备 性 。 如 果 了 的 声称 是 真 的 , 则 V 以 绝对 优势 的 概率 接受 P 的 结论 。 

。 有 效 性 。 如 果 了 的 声称 是 假 的 , 则 V 也 以 绝对 优势 的 概率 拒绝 P 的 结论 。 
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。 零 知识 性 。 无 论 V 采取 任何 手段 , 当 P 的 声称 是 真 的 ,上 且 了 不 违背 协议 时 ,V 除了 
接受 P 的 结论 以 外 ,得 不 到 其 他 额外 的 信息 。 

简单 地 讲 ,交互 式 零 知 识 证 明 就 是 为 了 证 明 P 知道 一 些 事实 ,希望 验证 者 V 相信 他 知 
道 的 这 些 事实 而 进行 的 交互 。 为 了 安全 起 见 , 交 互 式 零 知识 证 明 是 由 规定 轮 数组 成 的 一 个 
“挑战 /应 答 协议。 通常 每 一 轮 由 V 挑战 和 了 应 答 组 成 。 在 规定 的 协议 结束 时 ,V 根据 P 
是 否 成 功 地 回答 了 所 有 挑战 来 决定 是 否 接 受 P 的 证 明 。 

前 面 介 绍 的 用 户 A 要 向 用 户 BB 证明 自己 是 某 一 间 房 子 的 主人 的 例子 , 便 是 一 个 交互 式 
零 知 识 证 明 的 示例 。 在 这 一 认证 过 程 中 ,只 进行 了 一 轮 挑战 和 应 答 。 出 于 安全 考虑 ,还 可 以 
通过 其 他 方式 再 增加 几 轮 挑战 和 应 答 。 


4.5.3 非 交 互 式 零 知识 证 明 


在 交互 式 零 知识 证 明 过 程 中 ,证 明 者 和 验证 者 之 间 必 须 进 行 交 互 。20 世纪 80 年 代 末 ， 
出 现 了 * 非 交互 式 零 知识 证 明 ” 的 概念 。 在 非 交互 式 零 知识 证 明 过 程 中 ,通信 双方 不 需要 进 
行 任何 交互 ,从 而 任何 人 都 可 以 对 了 公开 的 消息 进行 验证 。 

在 非 交互 式 零 知 识 证 明 中 ,证 明 者 P 公布 一 些 不 包括 他 本 人 任何 信息 的 秘密 消息 , 却 
能 够 让 任何 人 相信 这 个 秘密 消息 。 在 这 一 过 程 ( 其 实 是 一 组 协议 ) 中 ,起 关键 作用 的 因素 是 
一 个 单 向 Hash 函数 。 如 果 P 要 进行 欺骗 ,他 必须 能 够 知道 这 个 Hash 函数 的 输出 值 。 但 
事实 上 由 于 他 不 知道 这 个 单 向 Hash 函数 的 具体 算法 ,所 以 他 无 法 实施 欺骗 。 也 就 是 说 ,这 
个 单 向 Hash 函数 在 协议 中 是 V 的 代替 者 。 

目前 非 交互 式 零 知 识 证 明 的 实现 可 采用 多 种 算法 ,具体 算法 不 再 介绍 ,读者 可 参阅 相关 
的 资料 。 


4.6 身份 认证 协议 


计算 机 网 络 中 的 身份 认证 协议 是 指 对 参与 通信 的 主体 (如 用 户 、 计 算 机 等 ) 之 间 提 供 安 
全 认证 的 协议 。 网 络 环境 中 的 身份 认证 协议 及 系统 ,在 网 络 安 全 中 占据 十 分 重要 的 位 置 , 对 
于 网 络 应 用 的 安全 有 着 非常 重要 的 作用 。 本 节 介 绍 几 种 典型 的 身份 认证 协议 。 


4.6.1 Kerberos 协议 


Kerberos 协议 是 麻 省 理工 学 院 开发 的 基于 TCP/IP 网 络 设 计 的 可 信 第 三 方 认证 协议 ， 
它 是 目前 分 布 式 网 络 计 算 环 境 中 应 用 最 为 广泛 的 认证 协议 。 

1. Kerberos 协议 简介 

Kerberos 是 为 基于 TCP/IP 的 Internet 和 Intranet 设计 的 安全 认证 协议 , 它 工作 在 
Client/Server 模式 下 ,以 可 信赖 的 第 三 方 KDC( 密 钥 分 配 中 心 ) 实 现 用 户 身 份 认证 。 在 认证 
过 程 中 ,Kerberos 使 用 对 称 密 钥 加 密 算法 ,提供 了 计算 机 网 络 中 通信 双方 之 间 的 身份 认证 。 

Kerberos 设计 的 目的 是 解决 在 分 布 网 络 环境 中 用 户 访问 网 络 资源 时 的 安全 问题 。 
Kerberos 的 安全 性 不 依赖 于 用 户 端 计算 机 或 者 要 访问 的 主机 (如 服务 器 ), 而 是 依赖 于 
KDC。Kerberos 协议 中 每 次 通信 过 程 都 有 三 个 通信 参与 方 : 需要 验证 身份 的 通信 双方 和 
一 个 双方 都 信任 的 第 三 方 KDC。 将 发 起 认证 服务 的 一 方 称 为 客户 端 ,客户 端 需要 访问 的 对 


象 称 为 服务 器 端 。 在 Kerberos 中 ,客户 端 是 通过 向 服务 器 端 提交 自己 的 “凭据 (Ticket) ”来 
证 明 自 己 的 身份 ,该 凭据 是 由 KDC 专门 为 客户 端 和 服务 器 端 在 某 一 阶段 内 通信 而 生成 的 。 
Kerberos 保存 一 个 它 的 客户 端 及 密 钥 的 数据 库 ,这 些 密 钥 是 KDC 与 客户 端 之 间 共 享 的 ,是 
不 能 被 第 三 方 知道 的 。 

由 于 Kerberos 是 基于 对 称 加 密 来 实现 认证 的 ,这 就 涉及 到 加 密 密 钥 对 的 产生 和 管理 问 
题 。 在 Kerberos 中 会 对 每 一 个 用 户 分 配 一 个 密 钥 对 ,如果 网 络 中 存在 NN 个 用 户 , 则 
Kerberos 系统 会 保存 和 维护 N 个 密 钥 对 。 同 时 ,在 Kerberos 系统 中 只 要 求 使 用 对 称 密码 ， 
而 没有 对 具体 算法 和 标准 作 限 定 , 这 样 便 于 Kerberos 协议 的 推广 和 应 用 。 

Kerberos 已 广泛 应 用 于 Internet 和 Intranet 服务 的 安全 访问 ,具有 高 度 的 安全 性 ,可靠 
性 、 透 明 性 和 可 伸缩 性 等 优点 。 目 前 许多 远程 访问 认证 服务 系统 都 支持 Kerberos 认证 协 
议 , 如 微软 公司 的 EAP( 可 扩展 认证 协议 )、Cisco 公司 的 TACACS( 终 端 访问 控制 器 访问 控 
制 系统 ) 以 及 远程 用 户 认证 拨号 系统 (RADIUS) 等 ,同时 Windows 2000/2003 操作 系统 也 
将 Kerberos 集成 作为 本 地 认证 协议 。 

目前 广泛 使 用 的 Kerberos 的 版 本 是 第 4 版 (v4) 和 第 5 版 (v5), 其 中 Kerberos v5 弥补 
了 v4 中 存在 的 一 些 安全 漏洞 。Kerberos v5 已 成 为 Internet 标准 (RFC 1510)。 

2. Kerberos 系统 的 组 成 

一 个 完整 的 Kerberos 系统 主要 由 以 下 几 个 部 分 组 成 。 

(1) 用 户 端 (Client) 。 需 要 提供 身份 认证 的 一 方 , 有 可 能 是 用 户 账户 ,也 有 可 能 是 设备 
的 地 址 。 如 果 是 用 户 账 户 , 用 户 端的 密 钥 是 通过 账户 对 应 的 密码 得 出 的 

(2) 服务 器 端 (Server) 。 为 用 户 端 提供 资源 的 服务 器 , 当 用 户 访问 这 些 资源 时 需要 进 
行 身 份 认证 。 只 有 当 认证 通过 后 才 允 许 访问 。 该 服务 器 一 般 也 称 为 资源 服务 器 。 

(3) 密 钥 分 配 中 心 (Key Distribution Center,KDC) 。Kerberos 使 用 了 一 个 可 依赖 的 第 
三 方 KDC 为 需要 认证 的 用 户 提供 对 称 密 钥 , 如 Ka、Ks 和 Kc 等 。 为 每 一 个 用 户 提 供 的 对 
称 密 钥 只 有 该 用 户 和 KDC 知道 。 另 外 ,在 KDC 中 还 有 一 个 主 密 钥 Kkoc ,这 个 密 钥 是 在 
KDC 内 部 使 用 的 密 钥 。 由 于 KDC 在 Kerberos 系统 中 的 重要 性 ,所 以 KDC 的 安全 在 很 大 
程度 上 决定 了 Kerberos 系统 的 安全 。 在 Kerberos 系统 中 设置 了 两 个 服务 器 : 认证 服务 器 
和 票据 分 配 服务 器 。 

(4) 认证 服务 器 (Authentication Server, AS)。 在 KDC 中 ,由 AS 为 用 户 提 供 身份 认 
证 ,AS 将 用 户 的 密码 保存 在 KDC 的 数据 库 中 。 = A AS 在 收 到 密 
钥 后 与 数据 库 中 的 密码 进行 比 对 ,如 果 比 对 通过 ,AS 将 向 用 户 发 放 一 个 票据 。 用 户 根据 该 
票据 去 访问 资源 服务 器 上 的 资源 。 

(5) 票据 分 配 服务 器 (Ticket Granting Server,TGS) 。 在 用 户 访问 服务 器 端的 资源 时 ， 
为 了 避免 AS 每 次 都 要 向 用 户 发 放 票 据 , 所 以 在 KDC 中 提供 了 TGS。TGS 的 作用 是 向 已 
经 通过 AS 认证 的 用 户 发 放 用 于 获取 资源 服务 器 上 提供 的 服务 的 票据 。 gg 
源 服 务 器 上 的 资源 时 ,AS 发 放 一 个 “票据 许可 票据 (Tickettgs)”, 用 户 会 保存 该 票据 。 

后 , 当 用 户 再 次 访问 资源 服务 器 上 的 资源 时 .只 需要 向 TGS 出 示 Tichettgs， et 
户 发 放 一 个 “服务 许可 票据 (Tickettv)”, 用 户 根 据 Tickettv 在 资源 服务 器 上 访问 所 需要 的 
资源 。 

(6) 票据 。 票 据 的 作用 是 在 身份 认证 服务 器 (AS 和 TGS) 与 资源 服务 器 之 间 安 全 地 传 
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递 用 户 的 身份 信息 ,同时 也 将 身份 认证 服务 器 对 用 户 的 信任 信息 转发 给 资源 服务 器 。 在 票 
据 中 包括 服务 器 名 称 、 用 户 的 名 称 、 用 户 的 地 址 、 时 间 标 记 、 生 命 周 期 以 及 一 个 随机 的 会 话 密 
钥 。 票 据 在 服务 器 之 间 传 递 时 都 是 加 密 的 。 

(7) 时 间 截 。 在 计算 机 网 络 系统 的 安全 管理 中 经 常 要 用 到 时 间 戳 的 概念 。 当 用 户 获 得 
一 个 访问 资源 服务 器 的 票据 时 ,在 票据 中 包含 一 个 时 间 戳 ,指明 票据 发 出 的 时 期 ,时间 以 及 
它 的 生命 周期 。 通 过 时 间 戳 ,用 户 可 知道 票据 的 有 效 性 。 需 要 说 明 的 是 ,当时 间 戳 用 于 认证 
时 ,不 同 设备 之 间 的 时 钟 需要 进行 精确 同步 ,或 提供 必要 的 时 钟 偏差 。 在 Kerberos 中 ,时 钟 
偏差 被 设置 为 5 分 钟 。 

另外 ,还 有 保证 票据 、 密 码 等 信息 安全 传输 中 所 需要 的 密 钥 。 

3. Kerberos 的 基本 认证 过 程 

如 图 4-7 所 示 ,下面 介绍 Kerberos 的 基本 认证 过 程 。 


密 钥 分 配 中 心 (KDC) 
1 Keberos | 
© 认证 服务 器 “| - 星 下 
(AS) 
@ 


® 票据 分 配 服务 器 
外 (TGS) 


资源 服务 
图 4-7 Kerberos 系统 认证 过 程 示意 图 


@ 客户 端 在 计算 机 上 向 AS 发 送 一 个 包含 客户 端 名 称 ( 用 户 名 ) 资源 服务 器 名 称 的 认 
证 信息 。 

@ 首先 ,AS 验证 客户 端的 真实 性 后 ,随机 生成 一 个 加 密 密 钥 作为 下 一 阶段 客户 端 与 
TGS 通信 时 使 用 的 会 话 密 钥 。 接 着 ,AS 构造 一 个 包含 客户 端 ,会 话 密 钥 及 开始 和 失效 时 间 
等 信息 的 “票据 许可 票据 ”, 并 将 该 票据 用 TGS 的 密 钥 进行 加 密 。 然 后 ,AS 将 新 的 会 话 密 
钥 用 客户 端的 密 钥 Kc 加 密 ( 对 称 加 密 ), 并 与 “票据 许可 票据 ”一 起 发 送 给 客户 端 。 最后， 
客户 端 计算 机 利用 用 户 输入 的 密码 生成 密 钥 Kc ,并 用 该 密 钥 Kc 解密 收 到 的 信息 ,得 到 
所 需要 的 会 话 密 钥 Kc,e 以 及 "票据 许可 票据 ”, 并 利用 时 间 戳 确保 “票据 许可 票据 ?是 最 
新 的 。 

@ 客户 端 向 TGS 发 送 一 个 包含 访问 TGS 时 使 用 的 “票据 许可 票据 ”需要 访问 的 资源 
服务 器 名 称 .客户 端 名 称 及 客户 端 密 钥 Kc 的 信息 ,该 信息 使 用 @ 中 得 到 的 会 话 密 钥 进行 加 
密 , 以 防止 信息 在 发 给 TGS 的 过 程 中 被 自 改 。 

@ TGS 用 自己 的 密 钥 验证 “票据 许可 票据 ”后 ,获得 在 四 中 构造 的 会 话 密 钥 Kc.ws 和 客 
户 端 要 访问 的 资源 服务 器 的 名 称 , 并 从 数据 库 中 获得 资源 服务 器 的 密 钥 Ks 后 随机 生成 客 
户 端 与 资源 服务 器 之 间 通 信 时 使 用 的 会 话 密 钥 和 ”服务 许可 票据 ?。TGS 将 客户 端 与 资源 


服务 器 之 间 使 用 的 新 的 会 话 密 钥 用 从 “票据 许可 票据 ”中 获得 的 会 话 密 钥 Kc,ws 加密 后 与 新 
的 “服务 许可 票据 ”一 起 发 给 客户 端 。 

@ 和 @ 客户 端 向 资源 服务 器 发 送 包 含有 认证 者 身份 和 “服务 许可 票据 ”的 信息 ,资源 服 
务 器 通过 解密 获得 客户 端的 信息 ,完成 认证 。 


4.6.2 SSL 协议 


SSL(Secure Socket Layer, 安 全 套 接 字 层 ) 协 议 最 初 是 由 Netscape Communication 公 
司 设计 开发 的 安全 认证 协议 ,也 是 国际 上 最 早 应 用 于 电子 商务 的 一 种 网 络 安全 协议 。SSL 
刚 开始 制定 时 是 面向 Web 应 用 的 安全 解决 方案 ,目前 SSL 已 经 成 为 Web 上 最 为 广泛 的 信 
息 安全 协议 之 一 ,大 部 分 Web 服务 器 和 浏览 器 都 内 置 了 该 协议 ,比较 容易 应 用 。 

1. SSL 概述 

在 Internet 体系 结构 中 , 套 接 字 层 (Socket Layer) 位 于 应 用 层 和 传输 层 之 间 。 而 套 接 字 
(Socket) 的 概念 起 源 于 20 世纪 80 年 代 的 UNIX 操作 系统 , 它 定 义 了 客户 机 与 服务 器 之 间 
进行 的 通信 方式 。 这 种 通信 方式 既 可 以 是 面向 连接 的 (如 使 用 TCP 协议 ) ,也 可 以 是 面向 非 
连接 的 (如 使 用 UDP 协议 ) 。Socket 可 以 看 成 是 通信 中 的 一 个 端点 ,其 中 客户 机 上 的 应 用 
程序 利用 一 个 Socket 地 址 来 呼叫 服务 器 上 的 Socket, 一 旦 服务 器 上 的 Socket 与 客户 机 上 
的 Socket 建立 了 连接 ,这 两 台 计算 机 之 间 就 可 以 交换 数据 。 

SSL 是 一 种 点 对 点 之 间 构 造 的 安全 通道 中 传输 数据 的 协议 , 它 运行 在 传输 层 之 上 ,应 
用 层 之 下 ,是 一 种 综合 利用 对 称 密 钥 和 公开 密 钥 技 术 进 行 安全 通信 的 工业 标准 。 在 通信 过 
程 中 ,允许 一 个 支持 SSL 协议 的 服务 器 在 支持 SSL 协议 的 客户 端 使 协议 本 身 获 得 信任 ,使 
客户 端 得 到 服务 器 的 信任 ,从 而 在 两 台 机 器 间 建 立 一 个 可 靠 的 传输 连接 。SSL 协议 主要 提 
供 了 3 个 方面 的 安全 服务 。 

(1) 认证 。 利 用 数字 证 书 技术 和 可 信任 的 第 三 方 认证 机 构 ,为 客户 机 和 服务 器 之 间 的 
通信 提供 身份 认证 功能 ,以 便于 彼此 之 间 进 行 身份 识别 。 为 了 验证 证 书 持 有 者 的 合法 性 , 防 
止 出 现 用 户 名 欺骗 ,SSL 要 求证 书 持 有 者 在 进行 握手 时 相互 交换 数字 证 书 ,通过 验证 证 书 


来 保证 对 方 的 合法 性 。 
(2) 机 密 性 。 在 SSL 客户 机 和 服务 器 之 间 传 输 的 所 有 数据 都 经 过 了 加 密 处 理 , 以 防止 
非法 用 户 进行 窃取 、 算 改 和 冒充 。 
(3) 完整 性 。SSL 利用 加 密 算法 和 Hash 函数 来 保证 客户 机 和 服务 器 之 间 传 输 的 数据 
的 完整 性 。 
如 图 48 所 示 ,SSL 协议 分 为 上 下 两 部 分 : 上层 为 HTTP、 FTP 和 Teinet 等 应 用 层 协议 
SSL 握手 协议 ,下 层 为 SSL 记录 协议 。 其 中 SSL 握手 和 1 ee 
协议 主要 用 来 建立 客户 机 与 服务 器 之 间 的 连接 ,并 协 1 Se ' 
商 密 钥 ， 而 SSL 记录 协议 则 定义 了 数据 的 传输 格式 。 | | 
由 此 可 以 看 出 ,SSL 协议 是 建立 在 可 靠 的 传输 层 协议 1 | | 
1 SSL 记 录 协 议 
1 1 


(如 TCP) 之 上 的 ,与 应 用 层 协议 无 关 , 它 在 应 用 层 协议 
通信 之 前 就 已 经 完成 加 密 算法 、 通 信和 密 钥 的 协商 以 及 一 { 本 和 国 
服务 器 认证 工作 。 高 层 的 应 用 层 协 议 ( 如 HTTP、FTP 提供 可 靠 传输 的 传输 层 协 议 如 TCP) 
和 Telnet 等 ) 可 以 透明 地 建立 在 SSL 协议 之 上 ,应 用 图 4-8 SSL 协议 栈 的 组 成 
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层 协 议 所 传送 的 数据 都 会 被 加 密 , 从 而 保证 通信 的 机 密 性 。 

2. SSL 握手 协议 

SSL 握手 协议 提供 了 客户 机 与 服务 器 之 间 的 相互 认证 ,协商 加 密 算法 ,用 于 保护 在 SSL 
记录 中 发 送 的 加 密 密 钥 。 握 手 协议 在 任何 应 用 程序 的 数据 传输 之 前 进行 。 如 图 4-9 所 示 ， 
SSL 握手 协议 的 一 次 握手 操作 包含 以 下 几 个 过 程 。 


客户 和 服务 器 
[tient pew 开始 握手 ,确定 双方 通 
一 一 
协议 号 、 会 话 ID 、 
aa 一 一 | 孝 9 乔 法 、 压 纵 彬 式 
sero 以 及 初始 随机 数 
Meate 服务 器 给 客户 机 发 送 
conf age 一 一 数字 证 书 和 公 钥 ， 证 
wer KeY EXO cst 一 一 | 明 自己 的 身份 ,同时 发 
fete 送 要 求 验证 的 请 求 ,并 
Co gto Do 结束 Hello 阶 段 
ef 
Certificate 客户 机 给 服务 器 发 送 


[Oak 证 书 ， 证 明 自 己 的 身 
ey Exchange 份 ， 同 时 发 送 客户 机 
Certificate verif “| 使 用 的 公 钥 和 证 书 认 
8 一 -| 证 确认 信息 
[Changeci 
一 
确定 服务 器 和 客户 机 
之 间 的 密码 修改 格式 ， 
hep 完成 握手 操作 


CangRC 


Finishe 


图 4-9 SSL 握手 协议 的 操作 过 程 


Q@ 通信 的 初始 化 阶段 。 客 户 机 向 服务 器 发 送 一 个 会 话 消 息 (Client Hello) ,服务 器 对 
该 会 话 消息 给 予 应 答 (Server Hello)。 这 一 过 程 主要 用 于 协商 以 下 的 信息 : 协议 版 本 .加密 
算法 ,会 话 的 ID .压缩 方法 和 一 个 初始 随机 数 。 其 中 ,初始 随机 数 是 客户 机 与 服务 器 之 间 对 
每 个 连接 选择 的 字 节 序 列 。 

@ 如 果 客 户 机 需要 服务 器 的 认证 , 则 服务 器 开始 发 送 它 的 数字 认证 证 书 ,以 证 明 其 身 
份 ,包括 证 书 消息 (Certificate) 、 服 务 器 密 钥 交换 消息 (Server Key Exchange) 和 证 书 请 求 消 
息 (Certificate Request) 。 

@ 服务 器 发 送 一 个 服务 器 完成 消息 (Server Hello Done) ,向 客户 机 表明 服务 器 的 应 答 
及 提供 的 证 书 等 消息 已 结束 。 


@ 客户 机 在 接收 到 服务 器 的 服务 器 完成 消息 后 ,如 果 收 到 了 服务 器 发 送 的 证 书 请 求 消 
息 , 即 服务 器 需要 对 客户 机 进行 认证 , 则 客户 机 将 向 服务 器 发 送 证 书 消 息 。 也 可 以 不 发 送 证 
书 消息 ,客户 机 发 送 自己 的 密 钥 交 换 消息 给 服务 器 ,发送 之 前 需要 用 服务 器 公开 密 钥 进行 加 
密 。 如 果 服 务 器 需要 对 客户 机 进行 认证 ,同时 客户 机 也 接受 了 此 请 求 , 即 客户 机 已 经 向 服务 
器 发 送 了 证 书 消息 , 则 客户 机 首先 利用 自己 的 私 钥 对 已 发 送 的 证 书 消息 进行 数字 签名 ,然后 
再 发 送 给 服务 器 ,该 签名 后 的 消息 为 证 书 验证 消息 (CCertificate Verify) ,以 证 明 自 己 是 证 书 
的 真正 持 有 者 。 

@ 客户 机 和 服务 器 分 别 发 送 修改 密码 格式 消息 (ChangeCipherSpec) ,完成 密 钥 交换 ; 
客户 端 和 服务 器 相互 发 送 完成 消息 (Finished) ,完成 认证 过 程 。 

在 SSL 握手 协议 操作 的 任意 步骤 中 ,如 果 协 商 结果 不 符合 某 一 方 的 要 求 , 通 信 的 任意 
一 方 都 可 以 终止 握手 进程 。 在 完成 握手 后 ,客户 机 和 服务 器 即 可 以 开始 交换 应 用 层 数 据 。 
传输 数据 时 ,用 对 称 密码 进行 加 密 , 对 称 密 钥 用 非 对称 算 法 加 密 , 再 把 加 密 消息 与 被 加 密 的 
密 钥 数据 绑 定 后 进行 传输 。 接 收 的 过 程 与 发 送 过 程 正 好 相反 ,首先 用 接收 者 的 私 钥 打开 对 
称 密 钥 的 加 密 包 ,再 用 得 到 的 对 称 密 钥 对 消息 进行 解密 ,得 到 明文 数据 。 

3. SSL 记录 协议 

SSL 记录 协议 建立 在 可 靠 的 传输 层 协议 (如 TCP) 之 上 ,为 高 层 协议 (如 HTTP 、FTP 
等 ) 提 供 数 据 封装 .压缩 和 加 密 等 基本 功能 的 支持 。 如 图 4-10 所 示 ,SSL 记录 协议 的 操作 过 
程 如 下 。 


应 用 层 数 据 | 
7 上 
分 块 16X1024B 16X1024B 小 于 16X1024B 
\ 7 
过 
压缩 (可 选 ) 压缩 后 
的 数据 
1 人 
添加 MAC 人 MAC 
1 1 
1 1 
加 密 加 密 后 的 数据 
1 
pg 1 
添加 SSL 头 | SSL 头 ma] 


图 4-10 SSL 记录 协议 的 操作 过 程 


@ 数据 分 块 。 将 应 用 层 的 数据 分 解 为 大 小 为 16X1024B( 其 中 B 表示 字 节 ) 或 更 小 的 
数据 块 。 

@ 数据 压缩 (可 选 ) 。 压 缩 必须 是 无 损 的 ,压缩 后 的 数据 长 度 未 必 比 压缩 前 的 数据 短 ， 
但 增加 的 内 容 长 度 不 能 超过 1024B。 在 SSLv3 中 ,没有 说 明 采 用 哪 一 种 压缩 方式 ,所 以 系 
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统 默认 为 空 , 即 不 进行 压缩 。 
@ 计算 并 添加 MAC (消息 认证 码 )。 对 压缩 后 的 数据 ,采用 单 向 Hash 函数 计算 
MAC, 并 添加 到 压缩 后 的 数据 后 面 。 
@ 加 密 。 对 压缩 数据 和 MAC 进行 加 密 。 加 密 对 数据 长 度 的 增加 不 能 超过 1024B。 允 
许 采 用 的 加 密 算法 及 相应 的 密 钥 长 度 如 表 4-1 所 示 。 


表 4-1 SSL 协议 中 使 用 的 加 密 算法 及 其 密 钥 长 度 


分 组 密 钥 流 密 钥 
算法 密 钥 长 度 /位 算法 密 钥 长 度 /位 
IDEA 128 RC4-40 40 
RC2-40 40 RC4-128 128 
DES-40 40 
3DES 168 
Fortezza 80 
DES 56 


@ 添加 SSL 记录 头 。 在 加 密 后 的 数据 头 部 添加 一 个 SSL 记录 协议 头 ,使 数据 形成 一 
个 完整 的 SSL 记录 。 该 SSL 记录 头 由 以 下 字段 组 成 (如 图 4-11 所 示 ) 。 


(1) 内 容 类 型 。 
(2) 主 版 本 号 。 
(3) 次 版 本 号 。 
(4) 压缩 长 度 。 


该 包括 MAC 。 


gfe 8 人 一 8 全- 一 16 位 一 | 


内 容 类 型 EE [次 版 本 号 | 


压缩 长 度 


明文 数据 (压缩 可 选 ) 


MAC(0,16,20B) 


图 4-11 SSL 记录 协议 字段 


封装 的 高 层 协议 类 型 。 


使 用 的 SSL 主 版 本 号 ,如 果 采 用 SSL v3 协议 ,该 字段 值 为 3。 
使 用 的 SSL 次 版 本 号 ,如果 采 用 SSL v3 协议 ,该 字段 值 为 0。 
以 字 节 为 单位 的 数据 长 度 。 有 两 种 情况 : 如 果 采 用 了 压缩 ,该 字段 值 
为 压缩 后 的 数据 块 长 度 ; 如 果 没 有 压缩 , 则 该 字段 为 明文 数据 块 的 长 度 。 但 两 种 长 度 都 应 


4. SSL 协议 的 特点 
SSL 是 一 个 通信 协议 。 为 了 实现 安全 性 ,SSL 的 协议 描述 比较 复杂 ,具有 较 完备 的 握 
手 过 程 。 这 也 决定 了 SSL 不 是 一 个 轻 量 级 的 网 络 协议 。 另 外 ,SSL 还 涉及 到 大 量 的 计算 密 
集 型 算法 : 非 对 称 加 密 算法 、 对 称 加 密 算法 和 数据 摘要 算法 。 
IETF 将 SSL 进行 了 标准 化 , 即 RFC 2246, 并 将 其 称 为 TLS (Transport Layer 
Security) 。 从 技术 上 讲 ,TLSv1.0 与 SSLv3.0 的 差别 非常 小 。 有 关 TLS 的 详细 介绍 ,读者 
可 参阅 相关 的 技术 文档 。 


4.7 实验 操作 1 基于 IEEE 802. 1x 协议 的 RADIUS 
服务 器 的 配置 和 应 用 


近年 来 , 随 着 宽带 网 络 应 用 的 飞速 发 展 ,企业 .学校 ,政府 机 关 和 居民 小 区 等 局 域 网 纷纷 通 
过 身份 认证 方式 接 入 Internet。 在 这 一 过 程 中 ,如 何 实现 对 接 人 用 户 的 认证 .授权 和 审核 ( 即 
3A) 是 普遍 关注 的 问题 。 基 于 IEEE 802. 1x 协议 和 RADIUS 服务 器 的 系统 架构 为 这 一 问题 提 
供 了 有 效 的 解决 方案 。 本 实验 立足 目前 的 应 用 实际 ,介绍 这 些 安全 管理 方式 的 实现 过 程 。 


4.7.1 实验 设计 


本 实验 是 一 个 具有 较 大 应 用 价值 的 综合 实验 。 一 是 本 实验 立足 目前 的 网 络 应 用 实际 ， 
可 以 直接 在 安全 要 求 不 太 高 的 网 络 环境 中 使 用 ; 二 是 本 实验 的 实现 原理 与 目前 市 面 上 流行 
的 计 费 认证 系统 基本 相同 ,通过 本 实验 可 以 帮助 读者 了 解 一 些 商 业 软 件 的 功能 特点 ; 三 是 
通过 实践 将 会 加 深 对 本 章 前 面 介绍 的 理论 知识 的 认识 。 

为 便于 实验 的 进行 ,设计 了 如 图 4-12 所 示 的 实验 拓扑 。 其 中 ,用 于 身份 认证 ,授权 和 审 
计 的 RADIUS 服务 器 由 一 台 安 装 了 “Internet 验证 服务 ”组 件 的 Windows Server 2003 的 计 
算 机 扮演 ,其 IP 地 址 为 172. 16. 2.10( 读 者 也 可 以 自 定 )。 实 验 中 使 用 的 交换 机 必须 是 一 台 
支持 IEEE 802. 1x 协议 的 可 网 管 交换 机 ,在 实验 中 需要 启用 交换 机 上 的 IEEE 802. 1x 协 
议 。 本 实验 使 用 了 Cisco3550 交换 机 ,管理 地 址 为 172. 16. 2. 11。 读 者 如 果 使 用 的 是 其 他 品 
牌 或 型 号 的 交换 机 ,只 需要 根据 交换 机 的 配置 说 明 启 用 IEEE 802. 1x 协议 即 可 ,其 他 操作 
与 本 实验 完全 相同 。 由 于 IEEE 802. 1x 协议 与 RADIUS 服务 器 之 间 良 好 的 兼容 性 和 互 操 
作 性 ,所 以 当 客 户 端 计算 机 通过 RADIUS 服务 器 认证 访问 网 络 资源 (如 接 入 Internet) 时 ,在 
客户 端 计算 机 上 需要 启用 IEEE 802. 1x 协议 。 如 果 读者 使 用 的 计算 机 运行 的 是 Windows 
XP 及 以 上 版 本 的 操作 ,这 些 操作 系统 已 内 置 了 IEEE 802. 1x 协议 ,所 以 不 需要 单独 安装 客 
户 端 软件 ,否则 还 需要 在 客户 端 安装 IEEE 802. 1x 认证 软件 。 为 了 使 本 实验 更 贴近 实际 应 
用 ,还 增加 了 一 台 应 用 服务 器 (IP 地 址 可 以 设置 为 172. 16. 2. 1) ,在 该 服务 器 上 可 以 设置 文 
件 夹 共享 FTP 或 Web 服务 器 ,以 便 客户 端 测试 使 用 。 应 用 服务 器 在 本 实验 中 不 是 必需 的 。 


RADIUS 服务 应 用 服务 器 呈 
IP:172.16.2.10/24 (如 Web、FTP 和 文件 夹 共享 等 ) 
IP: 172.16.2.1/24 


支持 IEEE 802.1x 协 议 的 交换 机 
172.16.2.11/24 


使 用 IEEE 802.1x 协 议 
的 计算 机 


图 4-12 实验 拓扑 
身份 认证 摧 太 
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4.7.2 IEEE 802. 1x 和 RADIUS 服务 器 的 概念 


基于 IEEE 802. 1x 和 RADIUS 服务 器 的 身份 认证 系统 目前 已 被 用 户 广泛 使 用 ,为 便于 
读者 后 面 的 操作 ,本 小 节 首先 介绍 相关 的 概念 。 

1. IEEE 802. 1x 

IEEE 802. 1x 是 一 个 基于 端口 的 网 络 访问 控制 协议 ,该 协议 的 认证 体系 结构 中 采用 了 
“可 控 端 口 2? 和 ”不 可 控 端 口 ?的 逻辑 功能 ,从 而 实现 认证 与 业务 的 分 离 , 保 证 了 网 络 传输 的 

IEEE 802 系列 局 域 网 标准 占据 着 目前 局 域 网 应 用 的 主要 份额 ,但 是 传统 的 IEEE 802 
体系 定义 的 局 域 网 不 提供 接 人 认证 ,只 要 用 户 能 接 和 人 集线器、 交换 机 等 控制 设备 ,用 户 就 可 
以 访问 局 域 网 中 其 他 设备 上 的 资源 。 这 是 一 个 安全 隐患 ,同时 也 不 便于 实现 对 局 域 网 接 入 
用 户 的 管理 。 另 外 ,在 网 吧 等 经 营 性 场所 中 ,设备 提供 者 希望 能 对 用 户 的 接 人 进行 认证 、 授 
权 和 计 费 。IEEE 802. 1x 是 一 种 基于 端口 的 网 络 接 入 控制 技术 ,在 局 域 网 设备 的 物理 接 入 
级 对 接 人 设备 (主要 是 计算 机 ) 进 行 认证 和 控制 。 连 接 在 交换 机 端口 上 的 用 户 设备 如 果 能 通 
过 认证 ,就 可 以 访问 局 域 网 内 的 资源 ,也 可 以 接 入 外 部 网 络 ( 如 Internet); 如 果 不 能 通过 认 
证 , 则 无 法 访问 局 域 网 内 部 的 资源 ,同样 也 无 法 接 入 Internet, 相 当 于 物理 上 断 开 了 连接 。 

IEEE 802. 1x 协议 采用 现 有 的 可 扩展 认证 协议 (Extensible Authentication Protocol， 
EAP) , 它 是 IETF 提出 的 PPP 协议 的 扩展 ,最 早 是 为 解决 基于 IEEE 802. 11 标准 的 无 线 局 
域 网 的 认证 而 开发 的 。EAP 数据 包含 在 IEEE 802. 1x 数据 中 , 称 为 EAPOL (EAP over 
LAN) ,在 证 明 者 (Supplicant) 和 验证 者 (Authenticator) 之 间 传 输 。 验 证 者 和 验证 服务 器 
(Authentication Server) 间 同样 运行 EAP 协议 。EAP 帧 中 封装 了 认证 数据 ,将 该 协议 承载 
在 RADIUS 等 其 他 高 层 协议 中 ,以 便 穿越 复杂 的 网 络 到 达 认 证 服务 器 ,此 过 程 称 为 EAP 
over RADIUS, 

虽然 IEEE802. 1x 定义 了 基于 端口 的 网 络 接 入 控制 协议 ,但 是 在 实际 应 用 中 该 协议 仅 
适用 于 接 入 设备 与 接 入 端口 间 的 点 到 点 的 连接 方式 ,其 中 端口 可 以 是 物理 端口 ,也 可 以 是 他 
辑 端口 。 典 型 的 应 用 方式 有 两 种 : 一 种 是 以 太 网 交换 机 的 一 个 物理 端口 , 仅 连 接 一 台 计 算 
机 ; 另 一 种 是 基于 无 线 局 域 网 的 接 入 方式 。 其 中 ,前 者 是 基于 物理 端口 的 ,而 后 者 是 基于 好 
辑 端口 的 。 目 前 ,几乎 所 有 的 可 网 管 以 太 网 交换 机 都 支持 IEEE 802. 1x 协议 。 

2. RADIUS 服务 器 

RADIUSCRemote Authentication Dial In User Service ,远程 用 户 拨号 认证 服务 ) 服 务 
器 提供 了 3 种 基本 的 功能 : 认证 ,授权 和 审计 , 即 提供 了 3A 功能 。 其 中 审计 也 称 为 “ 记 账 ” 
或 “ 计 费 ”。 

RADIUS 协议 采用 了 客户 机 /服务 器 工作 模式 。 网 络 接 人 服务 器 (Network Access 
Server,NAS) 是 RADIUS 的 客户 端 , 它 负责 将 用 户 的 验证 信息 传递 给 指定 的 RADIUS 服务 
器 ,然后 处 理 返回 的 响应 。RADIUS 服务 器 负责 接收 用 户 的 连接 请 求 , 并 验证 用 户 身 份 , 然 
后 返回 所 有 必须 要 配置 的 信息 给 客户 端 用 户 ,也 可 以 作为 其 他 RADIUS 服务 器 或 其 他 类 认 
证 服务 器 的 代理 客户 端 。 服 务 器 和 客户 端 之 间 传 输 的 所 有 数据 通过 使 用 共享 密 钥 来 验证 ， 
客户 端 和 RADIUS 服务 器 之 间 的 用 户 密 码 经 过 加 密 发 送 , 提 供 了 密码 使 用 的 安全 性 。 

在 如 图 4-13 所 示 的 网 络 中 ,RADIUS 服务 器 对 RADIUS 客户 端 ( 图 4-13 中 直接 标 为 


“客户 端 ” 进 行 用 户 验证 ,资源 访问 授权 和 记 账 等 操作 ,主要 操作 过 程 如 下 。 


RADIUS 服务 器 用 户 账户 数据 库 


图 4-13 RADIUS 系统 的 组 成 


(1) 远程 访问 服务 器 、VPN 服务 器 和 AP 等 接收 到 客户 端的 请 求 ,然后 将 其 直接 转发 给 
RADIUS 服务 器 。 
(2) RADIUS 服务 器 在 用 户 账 户 数据 库 中 检查 该 用 户 账户 名 称 与 密码 的 合法 性 ,并 根 
据 已 设置 的 访问 策略 来 决定 用 户 是 否 有 权限 来 连接 。 此 过 程 即 进行 用 户 身份 验证 授权。 
(3) 如 果 用 户 有 权限 来 连接 ,RADIUS 服务 器 便 会 通知 运行 有 用 户 账户 数据 库 的 服务 
器 (该 服务 器 称 为 “访问 服务 器 ”) ,再 由 “访问 服务 器 ”实现 与 客户 端的 连接 。 同 时 ,“ 访 问 服 
务 器 ”通知 RADIUS 服务 器 将 此 次 连接 进行 记录 ,并 启用 记 账 功能 (如 果 设 置 有 记 账 功能 的 
话 ) 。 
4.7.3 安装 RADIUS 服务 器 


下 面 在 一 台 运行 Windows Server 2003 操作 系统 的 计算 机 上 通过 安装 “Internet 验证 服 
务 ? 组 件 ,将 其 配置 为 一 台 RADIUS 服务 器 。 如 果 这 台 计 算 机 是 一 台 Windows Server 2003 
的 独立 服务 器 (未 升级 成 为 域 控制 器 ,也 未 加 入 域 ), 则 可 以 利用 SAM 来 管理 用 户 账 户 信 
息 ; 如 果 是 一 台 Windows Server 2003 域 控制 器 . 则 利用 活动 目录 数据 库 来 管理 用 户 账户 信 
息 。 虽 然 活动 目录 数据 库 管理 用 户 账户 信息 要 比 利 用 SAM 安全 稳定 ,但 RADIUS 服务 
器 提供 的 认证 功能 相同 。 为 便于 实验 ,下 面 以 一 台 运 行 Windows Server 2003 的 独立 服务 
器 为 例 进行 介绍 ,该 计算 机 的 IP 地 址 为 172. 16. 2. 10。 

另外 ,Linux 也 提供 了 组 件 RADIUS 服务 器 的 功能 ,而 且 基 于 Linux 的 RADIUS 服务 
器 的 运行 要 比 Windows 系统 稳定 。 熟 悉 Linux 的 读者 也 可 以 组 建 基于 Linux 的 RADIUS 
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服务 器 完成 此 实验 。 
打开 Windows Server 2003 服务 器 ,通过 以 下 操作 来 安装 IAS 服务 器 。 

(1) 选择 “开始 ”一 设置 ?一 控制 面板 ”添加 或 删除 程序 ”一 添加 /删除 Windows 
组 件 ”, 在 打开 的 如 图 4-14 所 示 的 “Windows 组 件 向 导 ” 对 话 框 中 选取 “网 络 服务 ”组 件 。 

(2) 单 击 “ 详 细 人 信息” 按钮 ,在 打开 的 如 图 4-15 所 示 的 “网 络 服务 ”对 话 框 中 选取 
“Internet 验证 服务 子 组 件 。 

(3) 单 击 “确定 ”按钮 ,返回 如 图 4-14 所 示 的 对 话 框 。 


(4) 单 击 * 下 一 步 ? 按 钮 ,系统 开始 从 Windows Server 2003 安装 光盘 复制 所 需要 的 文 
件 , 直 到 最 后 安装 结束 。 


加 
Yindors 钥 件 上 


SS 
可 以 添加 或 者 除 Windovs 的 组 件 。 | Ey 


组 件 CC); 

口 促 其 它 的 网 络 文件 和 打印 服务 00MB 到 
口 多 索引 服务 0.0 有 

避 本 应 用 程序 服务 器 33.3 上 

门 曲 远 得 安装 服务 1L9uB 到 
描述 ， 包含 各 种 专门 的 、 网 络 相关 的 服务 和 协议 。 

所 须 磁 盘 空 间 : 4.5 轨 

可 用 磁盘 空间 836.9 中 sw | 


mm | | 


图 4-14 选择 “网 络 服务 "组 件 
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图 4-15 ”选取 “Internet 验证 服务 ” 子 组 件 


安装 结束 后 ,可 以 选择 “开始 ”一 “程序 "一 “管理 工具 ”一 “Internet 验证 服务 ”打开 如 


图 4-16 所 示 的 “Internet 验证 服务 ”窗口 。 在 该 窗口 中 ,用 户 可 以 通过 操作 菜单 或 按钮 来 对 
相关 服务 进行 操作 ,如 停止 服务 .启用 服务 等 。 
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图 4-16 “Internet 验证 服务 (本 地 )” 窗 口 


如 果 用 户 要 在 自己 的 运行 有 Windows Server 2003 的 计算 机 上 对 RADIUS 服务 器 进 
行 远 程 管理 ,可 以 在 本 地 计算 机 上 选择 “开始 >“ 运行" 命令 ,在 打开 对 话 框 的 文本 框 中 输入 
MMC 命令 。 打 开 “ 控 制 台 ” 窗 口 ,在 该 窗口 中 选择 “文件 ”>“ 添 加 /删除 管理 单元 ”>“ 添 加 ” 
一 “Internet 验证 服务 ”>“ 添 加 ”一 “ 另 一 台 计 算 机 ”, 在 打开 的 对 话 框 中 输入 远程 RADIUS 
服务 器 的 IP 地 址 ,创建 管理 控制 台 ,通过 管理 控制 台 对 远程 RADIUS 服务 器 进行 管理 。 

需要 说 明 的 是 ,如 果 读者 是 通过 域 控制 器 的 Active Directory 数据 库 来 进行 用 户 账户 的 
管理 , 则 需要 建立 IAS 服务 器 与 Active Directory 数据 库 之 间 的 连接 。 这 样 , 当 RADIUS 客 
户 端 需要 进行 身份 验证 授权 或 记 账 等 操作 时 ,就 通过 Active Directory 数据 库 来 完成 。 


4.7.4 创建 RADIUS 客户 端 


需要 说 明 的 是 ,这 里 要 创建 的 RADIUS 客户 端 ,是 指 类 似 于 图 4-12 中 的 交换 机 设备 。 
在 实际 应 用 中 也 可 以 是 VPN 服务 器 、 无 线 AP 等 ,而 不 是 用 户 端的 计算 机 。 

RADIUS 服务 器 只 会 接受 由 RADIUS 客户 端 设备 发 过 来 的 请 求 ,为 此 需要 在 
RADIUS 服务 器 上 来 指定 RADIUS 客户 端 。 以 图 4-12 为 例 , 具 体 步 又 如 下 。 

(1) 在 IAS 服务 器 上 ,打开 “Internet 验证 服务 "窗口 ,然后 选取 "RADIUS 客户 端 ”, 单 
击 鼠 标 右键 ,在 弹出 的 快捷 菜单 中 选择 “新 建 RADIUS 客户 端 " 命 令 , 如 图 4-17 所 示 。 
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图 4-17 “新 建 RADIUS 客户 端 "窗口 
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(2) 在 打开 的 如 图 4-18 所 示 的 “新 建 RADIUS 客户 端 ? 对 话 框 中 ,为 此 RADIUS 客户 
端 输 入 一 个 名 称 ,并 输入 该 客户 端的 IP 地 址 或 主机 名 称 。 为 确认 输入 的 IP 地 址 或 主机 名 
称 的 正确 性 ,可 以 单 击 “ 验 证 ”按钮 进行 验证 。 
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输入 好 记 的 和 名称， 和 客户 端的 IP 地 址 或 DRS 名 。 
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图 4-18 设置 RADIUS 客户 端的 名 称 和 IP 地址 


(3) 单 击 “ 下 一 步 ” 按 钮 ,在 如 图 4-19 所 示 的 对 话 框 中 设置 客户 端的 安全 验证 方式 及 共 
享 密 钥 。 


新 建 EADIVS 客户 苇 3 x 


其 他 信息 


人 请 指定 RADIVS 客户 端的 供应 
客户 端 -供应 商 人) 


[RADIUS Standard > 
共享 的 机 密 GE) : [EE 
确认 共享 机 密 @) ; Cer 

厂 请 求 必须 包括 消息 验证 程序 属性 E) 


《so[ BR ] 9 | 


图 4-19 设置 共享 密 钥 和 认证 方式 


@ 客户 端 -供应 商 。 用 于 选择 提供 RADIUS 客户 端 软 件 的 供应 商 , 用户 可 根据 
RADIUS 客户 端的 实际 情况 来 选择 , Windows Server 2003 的 RADIUS 服务 器 支持 大 量 的 
RADIUS 客户 端 软件 。 例 如 , 当 RADIUS 客户 端 运行 的 是 Windows 操作 系统 时 ,可 以 选择 
Microsoft。 如 果 在 这 里 找 不 到 用 户 所 需要 的 RADIUS 客户 端 软 件 , 则 选择 RADIUS 
Standard 即 可 。 由 于 本 例 是 结合 IEEE 802. 1x 协议 进行 身份 认证 ,所 以 选择 RADIUS 
Standard。 

@ 共享 的 机 密 。 在 这 里 可 以 为 RADIUS 客户 端 设置 一 个 密 钥 ,这 样 当 该 客户 端 用 户 


在 登录 时 必须 正确 输入 此 密码 ,RADIUS 服务 器 才 会 进行 身份 验证 ,授权 和 记 账 等 操作 。 
注意 ,输入 密码 时 需要 注意 大 小 写 。 

@ 请 求 必须 包括 消息 验证 程序 属性 。 如 果 双 方 所 采用 的 验证 方式 是 PAP、CHAP、 
MS-CHAP 和 MS-CHAP v2, 则 RADIUS 服务 器 端 可 以 让 客户 端 发 送 “ 消 息 验证 程序 属 
性 ”, 以 提高 数据 传输 的 安全 性 。 如 果 验 证 方式 采用 EAP, 则 RADIUS 客户 端 会 自动 启用 
此 功能 ,不 需要 单独 进行 设置 。 

@ 单 击 “ 确 定 ” 按 钮 ,一 个 RADIUS 客户 端 创建 完成 ,如 图 4-20 所 示 。 


172.16.2.11 


图 4-20 显示 已 创建 的 RADIUS 客户 端 


如 果 网 络 中 还 有 其 他 需要 进行 认证 的 设备 ,读者 可 以 采取 相同 的 方法 来 创建 其 他 的 
RADIUS 客户 端 。 


4.7.5 创建 用 户 账户 


在 这 一 节 中 ,需要 为 所 有 通过 认证 才能 够 访问 网 络 的 用 户 在 RADIUS 服务 器 中 创建 账 
户 。 这 样 , 当 用 户 的 计算 机 连接 到 启用 了 端口 认证 功能 的 交换 机 上 的 端口 上 时 ,启用 了 
IEEE 802. 1x 认证 功能 的 客户 端 计 算 机 需要 用 户 输入 正确 的 账户 和 密码 后 ,才能 够 访问 网 
络 中 的 资源 。 下 面 创建 一 个 测试 用 的 用 户 账户 (如 wq) ,并 设置 相应 的 密码 。 具 体 方法 为 : 
选择 “开始 ”>“ 程 序 ”>“ 管 理工 具 ”>“ 计 算 机 管理 ”>“ 系 统 工具 ”一 “本 地 用 户 和 组 ”>“ 用 
户 ”, 单 击 鼠 标 右键 ,在 弹出 的 快捷 菜单 中 选择 “新 用 户 ” 命 令 ,在 打开 的 如 图 4-21 所 示 的 “新 
用 户 ” 对 话 框 中 进行 创建 。 
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图 4-21 创建 用 户 账户 
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为 便于 对 用 户 进 行 集中 管理 ,还 需要 创建 一 个 组 ,将 所 有 的 用 户 账户 添加 到 组 中 进行 统 
一 管理 。 具 体 方法 为 : 选择 “开始 ”一 “程序 ”管理 工具 ”~ 计算 机 管理 ”一 “系统 工具 ?一 
“本 地 用 户 和 组 ”>“ 组 ”命令 , 单 击 鼠 标 右键 ,在 弹出 的 快捷 菜单 中 选择 “新 建 组 ”命令 ,在 出 
现 的 “新 建 组 ”对 话 框 中 输入 组 名 (如 802. 1x) ,然后 单 击 “添加 ”按钮 ,将 前 面 新 创建 的 用 户 
添加 到 组 中 ,如 图 4-22 所 示 。 单 击 “ 创 建 "按钮 进行 确认 。 
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图 4-22 创建 组 并 添加 用 户 账户 


另外 ,选择 “开始 "一 “运行 ”命令 ,在 打开 的 对 话 框 中 输入 组 策略 编辑 器 命令 gpedit. 
msc, 单 击 “ 确 定 ” 按 钮 ,在 出 现 的 “本 地 安全 设置 ”窗口 中 依次 选择 “计算 机 配置 ”一 
“Windows 设置 ">“ 安 全 设置 ">“ 账 户 策略 ”>“ 密 码 策略 ”, 启 用 “用 可 还 原 的 加 密 来 储存 
密码 ”策略 项 ,如 图 4-23 所 示 。 


"i 本 地 安全 设置 | 
文件 @) 操作 () 查看 Y) 帮助 0D 
中外 | 外 | 四 |* 思 加 | 氏 
有 全 设置 
日 国 帐户 策略 
9 客 码 策略 
由 国 帐 忆 锁定 策略 
日 -人 本 地 第 略 
四国 公 名 第 略 
回 软件 限制 策略 用 可 还 诛 的 总 密 来 公 存 赤 码 


由 罚 全 安全 策略 ,在 本 地 计算 机 


图 4-23 启用 “用 可 还 原 的 加 密 来 储存 密码 "策略 项 


4.7.6 设置 远程 访问 策略 

下 面 在 RADIUS 服务 器 的 “Internet 验证 服务 "窗口 中 ,需要 为 图 4-12 中 的 交换 机 及 通 
过 该 交换 机 进行 认证 的 用 户 设置 远程 访问 策略 。 具 体 方法 如 下 。 

(1) 在 “Internet 验证 服务 ”窗口 中 选取 “远程 访问 策略 ”, 单 击 鼠 标 右键 ,在 弹出 的 快捷 
菜单 中 选择 “新 建 远程 访问 策略 ”命令 ,如 图 4-24 所 示 。 


图 4-24 新 建 远程 访问 策略 


(2) 在 随后 出 现 的 “新 建 远程 访问 策略 向 导 " 对 话 框 中 直接 单 击 "下 一 步 "按钮 ,打开 如 
图 4-25 所 示 的 对 话 框 。 选 择 * 使 用 向 导 来 设置 普通 情况 下 的 典型 的 策略 " 单 选 按钮 ,并 输入 
一 个 “策略 名 ”。 

新 建 远程 访问 策略 向导 x 


策略 配置 方法 pa 
此 向导 创 妥 典型 的 策略 ， 您 也 可 以 创建 自 定义 的 策略。 \ J 


smFE56 引 me | 


图 4-25 选择 配置 方式 


(3) 单 击 “ 下 一 步 ” 按 钮 ,打开 如 图 4-26 所 示 的 对 话 框 。 由 于 本 实验 是 基于 局 域 网 而 实 
现 的 ,所 以 选择 “以 太 网 ” 单 选 按钮 。 

(4) 单 击 * 下 一 步 ?按钮 ,在 打开 的 如 图 4-27 所 示 的 对 话 框 中 选择 是 单独 对 “用 户 ” 进 行 
授权 ,还 是 通过 “组 ”来 授权 。 由 于 已 经 为 需要 进行 认证 的 用 户 创建 了 组 (本 例 为 802. 1x)， 
所 以 在 这 里 选择 “组 ” 单 选 按钮 ,然后 单 击 “ 添 加 ”按钮 ,将 前 面 创建 的 组 名 (802. 1x) 添 加 到 
“组 名 ”列表 框 中 。 

(5) 单 击 “ 下 一 步 ” 按 钮 ,打开 如 图 4-28 所 示 的 对 话 框 。 在 “类 型 ”下拉 列 表 中 选择 身份 
验证 类 型 ,本 实验 选择 IEEE 802. 1x 支持 的 “MD5- 质 询 ” 类 型 。 

(6) 单 击 * 下 一 步 ?按钮 ,出 现 如 图 4-29 所 示 的 对 话 框 。 确 认 已 设置 的 信息 无 误 后 , 单 
击 “ 完 成 ”按钮 ,返回 “Internet 验证 服务 ”窗口 。 


盐 份 认证 黄 太 


地 上 台 


计算 机 网 络 安 会 投 太 


访问 方法 
策略 状况 是 根据 访问 网 络 的 方法 而 定 的 。 


选择 您 想 创建 的 策略 的 访问 方法 。 


rc 
有 YPN 连接 。 要 外 了 特定 的 VPN 类 型 的 策略 ， 请 回 到 上 一 页 ,选择 
3 


个 披 号 中 ) 
用 于 传统 的 电话 线 或 综合 业务 数字 网 ISDN 线路 的 拟 号 连接 。 


图 4-26 选择 访问 方法 


新 建 远程 访问 策略 向 导 


用 户 或 组 访问 
你 可 给 单独 用 户 授予 访问 权 ， 或 给 所 选 的 组 授予 访问 权限 。 


根据 以 下 授予 访问 权限 : 
广 用 户 中 
用 户 的 访问 权限 在 用 户 帐 户 中 指定 。 
人 组 @) 
单独 的 用 户 许可 忧 先 于 组 许可 。 
姐 名 凶 ): 
SERVERI\802. 1x 添加 @)... 


[FE 引 。 山 


图 4-27 选择 授权 方式 


CERT 
身份 验证 方法 
了 AP 用 不 同 的 安全 设备 来 验证 用 户 的 身份 。 
选择 此 策略 的 EAP 类 型 (8) 
类 型 中; 
| 丽 杜 硬 


《上 - 步 og aK 取消 


图 4-28 选择 身份 验证 方法 


要 关闭 该 向 导 


上 | 


E 在 完成 新 建 远 程 访问 策略 向 导 


您 已 经 成 功 地 完成 了 新 建 远程 访问 策略 向 导 。 您 创建 了 
以 下 策略 


IEEE802. 1x 客 户 


条 件 
NAS-Port-Type [UH “Ethernet” 


身份 验证 : EAP (ID5- 质 询 ) 


加 密 : 基本 加 密 ， 增 强加 密 ， 最 强加 密 ， 无 加 客 


， 请 单 击 “ 完 成 ”。 


图 4-29 确认 设置 信息 


(7) 删除 其 他 的 远程 访问 策略 ,只 保留 新 建 的 远程 访问 策略 ,最 后 如 图 4-30 所 示 。 


-Internet 验证 服务 


文件 四 ”操作 的) 


人才 | 白 国 | X 匣 加 | 银 


查看 QD) 。 帮助 0 


+ 


+ 


堵 Intornet 验证 服务 本 地 ) 


相国 KDIVS 客户 端 

由 - 国 远程 访问 记录 
悚 远程 访问 策略 

由 铝 连接 请 求 处 理 


名 称 


(8) i 
单 中 选 
择 属 性 ”对 话 框 中 选 


图 4-30 


先 择 “ 属 性 ”命令 ,并 在 打开 的 对 话 框 中 单 击 
先 择 Windows-Groups 选项 ,然后 ei 6 


只 


呆 留 新 建 的 远程 访问 策略 


全 和 人 辣 于 量 ( 本 全 有 人 802. 1x) , 单 击 鼠 标 右键 ,在 弹出 的 快捷 菜 


添加 ”按钮 ,在 出 现 的 如 图 4-31 所 示 的 “ 选 
添加 ”按钮 。 在: 


1 现 的 对 话 框 中 再 单 


击 “ 添 加 ”按钮 ,将 为 需要 进行 认证 的 用 户 创建 的 组 添加 到 “策略 状况 ”列表 中 ,如 图 4-32 所 示 。 


I 先 择 尾 性 


| 
选择 要 添加 的 属性 类 型 ,然后 单 击 “ 添 加 ”按钮 。 
属性 类 型 &); 
Callina-Station-Id 指定 呼叫 方 的 电话 号 码 


Client-yendor 


Framed-Protoc, 
NS-RAS-Vendor 


Client-Friendly 
Client-IP-Address 


Day-And-Time-Res, 


ol 


NAS-Identifier 
HAS-IP-Address 


掉 定 呼叫 方 的 电话 号码 。 

指定 RADIVS 客户 端的 好 记名 称 只 适用 
指定 RADIUS 客户 端的 IP 地 址 只 适用 
指定 RAITUS 代理 或 NAS 的 制造 厂商 (F 
指定 每 周 区 许 用 户 连 接 的 时 间 和 日 期。 


指定 标识 发 出 请求 的 RS 的 字符 审 (只 记 
指定 发 出 请 求 的 MAS 的 IP 地 址 (只 适用 


NAS-Port-Type 指定 发 出 请 求 的 WAS | 
Service-Type 指定 用 卢 请 求 的 服务 
Tunnel-Type 指定 使 用 的 隆 道 1 
指定 用 户 所 属 的 De 群 组 。 了 | 
4 上 
ww | 
图 4-31 选择 属性 类 型 


身份 认证 投 术 


击 全 蛋 


计算 机 网 络 安 会 投 太 


(9) 单 击 “确定 ”按钮 ,完成 设置 。 


如 果 连 接 请 求 和 此 策略 中 指定 的 条 件 匹 配 的 话 ， 相 应 的 配置 文件 会 应 用 到 这 接 。 


编辑 配置 文件 E) 


除非 在 用 户 配置 文件 中 指定 了 访问 权限 ,否则 本 策略 控制 对 网 结 的 访问 。 


如 果 一 个 连接 请 求 | 
个 拒绝 远程 访问 权限 @) 
他 授予 远程 访问 权限 G@) 


图 4-32 显示 已 添加 的 策略 名 称 


4.7.7 交换 机 (RADIUS 客户 端 ) 的 配置 


下 面 对 支 持 IEEE 802. 1x 认证 协议 的 交换 机 进行 配置 ,使 它 能 够 接受 用 户 端的 认证 请 
求 ,并 将 请 求 转发 给 RADIUS 服务 器 进行 认证 ,最 后 将 认证 结果 返回 给 用 户 端 。 其 实 ,这 里 
的 交换 机 有 些 类 似 于 代理 的 功能 。 

以 图 4-12 为 例 ,交换 机 的 了 P 地 址 为 172. 16. 2. 11/24 ,在 交换 机 上 只 需要 对 FastEthernet 
0/1 端口 进行 认证 ,其 他 端口 可 不 进行 设置 。 所 以 ,在 本 实验 中 ,图 4-12 中 的 RADIUS 服务 
器 和 应 用 服务 器 不 要 接 在 认证 端口 上 。 具 体操 作 如 下 。 

(1) 设置 交换 机 的 管理 地 址 。 由 于 交换 机 在 接收 到 用 户 的 认证 请 求 后 ,要 将 该 请 求 发 
送 给 RADIUS 服务 器 ,然后 还 要 将 认证 结果 返回 给 用 户 。 所 以 ,必须 给 交换 机 配置 一 个 管 
理 地 址 ,用 该 地 址 实现 交换 机 与 RADIUS 服务 器 之 间 的 通信 。 交 换 机 的 地 址 已 在 4.7.4 节 
的 图 4-18 中 指定 ,本 例 为 172. 16. 2. 11/24。 在 交换 机 上 的 配置 如 下 。 

Cisco3550#conf 1 (进入 交换 机 配置 模式 ) 

Cisco3550(config)#interface vian 1 (选择 虚拟 接口 VLAN1, 注 意 二 层 交 换 机 的 管 
理 地 址 都 配置 在 interface vlan 1 上 ) 

Cisco3550(config-if)#ip address 172. 16. 2. 11 255. 255. 255. 0 ”( 设 置 管理 地 址 为 
Tn 16. 2 1 1) 

Cisco3550(config-if)#end (退出 配置 模式 ) 

Cisco3550#wr (进行 保存 ) 

(2) 启用 AAA 认证 。 具 体 配置 如 下 。 

Cisco3550(config)#aaa new-model (启用 AAA 认证 ) 

Cisco3550(config) # aaa authentication dot lx default group radius (启用 dotlx 认证) 


Cisco3550(config) # corlz system-auth-control (启用 全 局 dotlx 认证 ) 

Cisco3550(config-if) # end (退出 配置 模式 ) 

Cisco3550#wr ”进行 保存 ) 

以 上 的 dotlx 即 启用 IEEE 802. 1x 认证 。 

(3) 指定 RADIUS 服务 器 的 IP 地 址 及 交换 机 与 RADIUS 服务 器 之 间 的 共享 密 钥 。 

Cisco3550(config) # radius-server host 172. 16. 2 10 auth-port 1812 acct-port 1813 
key wangqun 

Cisco3550(config) # radius-server retransmit 3 (与 RADIUS 服务 器 之 间 的 尝试 连 
接 次 数 为 3 次) 

Cisco3550(Cconfig-if) # end (退出 配置 模式 ) 

Cisco3550 # wr (进行 保存 ) 

在 以 上 命令 中 ,172. 16. 2. 10 为 RADIUS 服务 器 的 IP 地 址 ,1812 是 RADIUS 服务 器 
默认 的 认证 端口 ,1813 是 系统 默认 的 计 账 端口 。 其 中 ,auth-port 1812 acct-port 1813 可 以 
省 略 。Key 后 面 的 wangqun 为 交换 机 与 RADIUS 服务 器 之 间 的 共享 密 钥 (在 图 4-19 中 
设置 ) 。 

(4) 配置 交换 机 的 认证 端口 。 下 面 将 交换 机 的 第 一 个 端口 FastEthernet 0/1 设置 为 需 
要 进行 IEEE 802. 1x 认证 的 端口 。 具 体操 作 如 下 。 

Cisco3550(config) # interface FastEthernet 0/1 (进入 FastEthernet 0/1 端口 ) 

Cisco3550(config-if) # switchport mode access (将 端口 设置 为 访问 端口 ) 

Cisco3550(config-if) # dotlx port-control auto (将 端口 802. 1x 认证 模式 控制 设置 为 
自动 ) 

Cisco3550(config-if) # dotlx timeout quiet-period 30 (设置 认证 失败 后 的 重 试 时 间 为 
30s) 

Cisco3550(config-if) # dotlx timeout reauth-period 30 (设置 认证 失败 后 ,进行 重新 
认证 的 时 间 间 距 为 30s) 

Cisco3550(config-if) # dotlx reauthentication (启用 802. 1x 认证 ) 

Cisco3550(config-if) # spanning-tree portfast (启用 生成 树 协议 ,并 设置 为 portfast 
端口 ) 

Cisco3550(config-if)#end (退出 配置 模式 ) 

Cisco3550#wr (进行 保存 ) 

关于 交换 机 上 AAA 及 IEEE 802. 1x 的 相关 配置 及 命令 说 明 , 读 者 可 参阅 相关 的 技术 
文档 。 


4.7.8 用 户 端 连接 测试 


本 实验 中 客户 端 计算 机 以 Windows XP SP2 为 例 进行 介绍 ,具体 步骤 如 下 。 

(1) 配置 客户 端的 IP 地 址 ,如 172. 16.2. 13 。 

(2) 打开 用 户 端 计算 机 网 络 的 “本 地 连接 属性 ?对 话 框 , 然 后 选择 “验证 ?选项 卡 ,在 打 
的 如 图 4-33 所 示 的 对 话 框 中 选取 “启用 此 网 络 的 IEEE 802. 1x 验证 ? 复 选 框 , 并 在 “EAP 类 
型 "下 拉 列 表 中 选取 “MD5- 质 询 ” 选 项 ,其 他 选项 可 不 选 。 


身份 认证 摧 太 


地 上 台 


计算 机 网 络 安 全 技术 


EE 


选择 此 选项 以 提供 访问 以 太 网 所 需 的 验证 。 


回 启 用 此 网 络 的 IEEE 802. 1x 验证 到) 


EMP 类 型 14D5- 质 询 


口 汪 生机 信息 可 用 时 验证 河和 芷 机 E) 


口 当 用 户 或 计算 机 信息 不 可 用 时 验证 为 来 宾 G) 


图 4-33 启用 客户 端 IEEE 802. 1x 验证 


如 果 在 打开 * 本 地 连接 属性 ?对话 框 时 ,没有 “验证 ”选项 卡 ,需要 选择 “开始 ”~ 设置 ”~ 
“控制 面板 ”>“ 性 能 和 维护 ”>“ 管 理工 具 ” 一 “服务 ”, 在 打开 的 “服务 ”窗口 中 启用 Wireless 
Zero Configuration 即 可 。 

(3) 将 用 户 端 计算 机 接 到 交换 机 的 FastEthernet 0/1 端口 上 ,这 时 读者 会 发 现 交换 机 
上 FastEthernet 0/1 端口 对 应 的 指示 灯 呈 棕 黄色 ,说 明 端 口 处 于 阻 断 状态 。 同 时 ,在 客户 端 
任务 栏 的 右 下 角 将 会 出 现 如 图 4-34 所 示 的 提示 信息 。 

这 时 ,如 果 输入 Ping 172. 16. 2. 1 命令 ,系统 显示 连接 超时 ,说 明 客 户 端 与 应 用 服务 器 
(如 图 4-12 所 示 ) 之 间 无 法 进行 通信 。 

(4) 单 击 图 4-34 中 的 本 地 连接 图 标 , 出 现 如 图 4-35 所 示 的 输入 用 户 名 和 密码 的 “本 地 
连接 ”对 话 框 ,“ 登 录 域 " 在 本 实验 中 可 以 不 输入 。 


j 本 地 连接 x 
单 击 此 处 输入 您 的 网 络 用 户 名 和 密码 


100% 


图 4-34 系统 要 求 输入 用 户 名 和 密码 图 4-35 输入 用 户 名 和 密码 的 “本 地 连接 ”对 话 框 


(5) 单 击 “ 确 定 ” 按 钮 ,如 果 认 证 成 功 , 交 换 机 FastEthernet 0/1 端口 马上 会 呈现 正常 通 
信 状 态 ( 显 示 为 绿色 ) ,同时 在 客户 端 Ping 172. 16. 2. 1, 这 时 显示 与 应 用 服务 器 之 间 的 连接 


是 正常 的 。 

这 时 ,在 RADIUS 服务 器 上 打开 “事件 查看 器 ”, 在 “系统 "事件 中 将 会 显示 用 户 的 认证 
情况 ,如 图 4-36 所 示 。 为 了 进一步 验证 RADIUS 服务 器 的 认证 ,可 以 暂时 断 开 与 交换 机 
FastEthernet 0/1 端口 的 连接 , 当 再 次 接 人 该 端口 ,系统 同样 出 现 如 图 4-34 所 示 的 提示 信 
息 。 当 出 现 图 4-35 所 示 的 对 话 框 时 ,可 以 输入 一 个 在 RADIUS 服务 器 上 没有 创建 的 用 户 
账户 (如 wangqun) , 单 击 “ 确 定 ” 按 钮 后 ,用 户 端 提示 “身份 验证 失败 ”, 同 时 在 RADIUS 服务 
器 的 “系统 ”事件 中 ,将 会 显示 如 图 4-37 所 示 的 事件 说 明 , 对 用 户 wangqun 的 认证 未 通过 。 


日 期 @): ”2008-1-16 来 源 (8):; IAS 
时 间 仙 :14:11:52 ”类别 @): 无 


| 
关 型 区 ); 信息 事件 ID: 1 二 | 
-加 | 


用 户 va 被 授予 了 访问 权 。 
Fully-Qualified-User-Hame = SERYERIVwq 
MAS-IP-Address = 172.16.2.11 

3S-Identifier = 《不 存在 > 
Client-Friendly-Nane = cisco3550 
Client-IP-Address = 172.16.2.11 
Calling-StationrIdentifier = 00-00-60-74-1D-70 


MAS-Port-Type = Ethernet 可 
数据 人): 字 节 人 ) 个 字 仙 ) 
: 00 00 00 00 a - 


日 期 &): ”2008-1-16 来 源 G): IAS + | 
时 间 仙 ;14:20:31 类别 @); 无 

关 型 @); 侣 省 。 事件 QD): 2 | 
用 PA: WA 昌 | 


用 户 wangqun 被 拒 阁 访问 。 
Fully-Qualified-User-Nane = SERVERI\wangqun 
NAS-IP-Address = 172.16.2.11 

NAS-Identifier = 《不 存在 > 
Called-StatiomIdentifier = 00-0B-SF-1E-6F-81 
Calling-StationrIdenti fier = 00-D0-59-CF-68-Al 
Client-FPriendly Nane = cisco3550 
Client-IP-Address = 172.16.2.11 司 


数 需 0; 7 字 节 人 @) 个 宇 仙 ) 
-00 00 00 00 Re ~ 


[本 |] 联 | 呈 外 


图 4-37 未 通过 认证 的 用 户 事件 记录 


状 份 认证 技术 


圩 会 恰 
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本 实验 综合 应 用 了 身份 认证 的 许多 知识 和 技术 细节 ,同时 还 可 以 与 CA 建立 联系 ,由 
CA 为 用 户 发 送 证 书 , 实 现 身 份 认证 。 这 些 内 容 读 者 可 以 查阅 相关 的 技术 文档 ,并 通过 实验 
加 以 掌握 。 另 外 ,本 实验 具有 较 强 的 应 用 价值 ,希望 读者 联系 网 络 应 用 实际 ,掌握 实验 的 相 
关 技 术 。 


习 题 


4-1 什么 是 身份 认证 ? 分 析 身份 认证 中 3 种 不 同方 式 的 特点 。 

4-2 名 称 解释 : 认证 、 授 权 、 审 计 。 

4-3 在 密码 认证 中 如 何 设置 和 使 用 安全 性 高 的 密码 ? 

4-4 介绍 Lamport 算法 的 过 程 和 方法 ,说 明 一 次 性 密码 在 密码 认证 中 的 特点 。 

4-5 名 称 解释 : 社会 工程 学 .按键 记录 软件 、 搭 线 窃 听 、 暴 力 破解 .字典 攻击 、 罕 探 . 垃 
圾 搜索 、 双 因素 认证 。 

4-6 什么 是 生物 特征 认证 ? 与 传统 的 密码 认证 等 方式 相 比 ,生物 特征 认证 有 哪些 
优势 ? 

4-7 什么 是 零 知 识 证 明 认 证 ? 有 什么 特点 ? 

4-8 简 述 Kerberos 协议 的 特点 及 基本 认证 过 程 。 

4-9 在 TCP/IP 体系 结构 中 ,SSL 协议 是 如 何 工作 的 ? 

4-10 简 述 SSL 握手 协议 和 SSL 记录 协议 的 工作 过 程 。 

4-11 简 述 IEEE 802. 1x 协议 和 RADIUS 服务 器 的 功能 及 应 用 特点 。 

4-12 参考 如 图 4-12 所 示 的 网 络 拓扑 ,在 实验 室 中 独立 完成 该 实验 。 


第 5 章 TCP/IP 体系 的 协议 安全 


随 着 以 Internet 为 主 的 互联 网 络 的 广泛 应 用 ,TCP/IP 体系 成 为 目前 计算 机 网 络 的 基 
础 ,IP 网 络 已 基本 成 为 现代 计算 机 网 络 的 代名词 。 然 而 ,由 于 当初 设计 TCP/IP 体系 时 存 
在 的 局 限 性 ,以 及 随后 信息 技术 对 IP 网 络 的 依赖 性 ,致使 现在 IP 网 络 存在 的 安全 问题 日 渐 
突出 ,各 类 安全 隐患 日 显 严重 。 本 章 以 IPv4 为 基础 ,首先 简要 介绍 TCP/IP 体系 的 分 层 结 
构 及 各 层 的 功能 定义 ,然后 联系 实际 应 用 ,重点 介绍 TCP/IP 协议 栈 中 ARP、DHCP、TCP 
和 DNS 等 子 协 议 的 安全 问题 及 目前 行 之 有 效 的 安全 防范 方法 。 


5.1 TCP/IP 体系 


OSI 参考 模型 的 研究 初 囊 是 希望 为 网 络 体 系 与 协议 发 展 提供 一 种 国际 标准 。 但 是 ， 
Internet 在 全 球 范围 的 飞速 发 展 将 TCP/IP 体系 推 向 了 研究 和 应 用 的 前 台 。 在 TCP/IP 协 
议 栈 中 已 集成 了 大 量 的 子 协议 并 以 Internet 标准 发 布 , 同 时 随 着 Internet 应 用 的 不 断 发 展 ， 
新 的 子 协 议 及 对 已 有 协议 的 升级 版 本 也 将 不 断 出 现 ,并 成 为 TCP/IP 协议 栈 的 成 员 。 本 节 
将 简要 介绍 TCP/IP 体系 的 分 层 特点 及 各 层次 的 功能 划分 。 


5.1.1 TCP/IP 体系 的 分 层 将 点 


ARPAnet 是 应 用 最 早 的 计算 机 网 络 类 型 之 一 ,现代 计算 机 网 络 的 许多 概念 源 自 于 
ARPAnet。ARPAnet 是 由 美国 国防 部 资助 的 一 个 研究 性 网 络 , 当 初 它 通 过 租用 的 电话 线 
将 几 百 所 大 学 和 政府 部 门 的 计算 机 设备 连接 起 来 ,要 求 通过 一 种 灵活 的 网 络 体 系 结构 实现 
不 同 设备 .不 同 网 络 的 互联 和 互通 。 后 来 卫星 通信 系统 和 无 线 电 通信 系统 得 到 发 展 并 应 用 
到 ARPAnet 中 ,这 时 ,ARPAnet 最 初 开发 的 网 络 协议 使 用 在 通信 可 靠 性 较 差 的 通信 子 网 
中 时 出 现 了 问题 ,这 就 导致 了 TCP/IP 协议 的 出 现 。 

TCP/IP 开始 仅仅 是 两 个 协议 : TCP(Transfer Control Protocol ,传输 控制 协议 ) 和 IP 
(Internet Protocol, 网 际 协 议 )。 后 来 ,TCP/IP 演变 为 一 种 体系 结构 , 即 TCP/IP 参考 模型 。 
现在 的 TCP/IP 已 成 为 一 个 工业 标准 的 协议 集 , 它 最 早 应 用 于 ARPAnet。 因 为 当时 的 
ARPAnet 要 求 在 任何 条 件 下 甚至 是 战争 中 都 可 以 正常 运行 ,这 就 决定 了 运行 TCP/IP 的 网 
络 具有 很 好 的 兼容 性 ,并 可 以 使 用 铜 缆 、 光 纤 、 微 波及 通信 卫星 等 多 种 链 路 。 同 时 ,在 TCP/ 
IP 网 络 中 所 有 的 数据 都 以 分 组 的 形式 传输 。 

与 OSI 参考 模型 不 同 ,TCP/IP 模型 由 应 用 层 (Application Layer) 、 传 输 层 (Transport 
Layer)、 网际 层 (Internet Layer, 也 称 为 Internet 层 ) 和 网 络 接口 层 (Network Interface 
Layer)4 部 分 组 成 ,如 图 5-1 所 示 。 这 4 层 大 致 对 应 OSI 参考 模型 的 7 层 。 但 与 OSI 模型 不 
同 的 是 ,TCP/IP 协议 栈 更 加 侧重 于 互 连 设备 间 的 数据 传送 ,而 不 是 严格 的 功能 层次 的 划分 。 
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为 了 便于 对 TCP/IP 体系 的 理解 ,可 以 将 TCP/IP 体系 分 为 协议 层 和 网 络 层 两 层 ,如 
图 5-2 所 示 。 其 中 ,协议 层 包 括 TCP/IP 体系 的 上 面 两 层 ( 应 用 层 和 传输 层 ) ,具体 定 义 了 有 
关 网 络 通信 协议 的 类 型 ; 而 网 络 层 包括 TCP/IP 模型 的 下 面 两 层 (网 际 层 和 网 络 接口 层 )， 
具体 定义 了 网 络 的 类 型 (如 局 域 网 和 广域网 ) 和 设备 之 间 的 路 径 选 择 。 


应 用 层 
传输 层 
网 际 层 
网 络 接口 层 网 络 接口 层 
图 5-1 TCP/IP 体系 图 5-2 将 TCP/IP 体系 划分 为 协议 层 和 网 络 层 


TCP/IP 是 一 个 协议 入 或 协议 栈 , 它 是 由 多 个 子 协议 组 成 的 集合 。 图 5-3 列 出 了 TCP/ 
IP 体系 中 包括 的 一 些 主要 协议 及 与 TCP/IP 体系 的 对 应 关系 。 理 解 这 个 图 的 结构 (尤其 是 
每 一 层 对 应 的 协议 ) 对 于 后 面 的 学 习 非 常 重 要 。 


图 5-3 TCP/IP 体 系 中 的 主要 协议 及 与 各 层 的 对 应 关系 


5.1.2 TCP/IP 各 层 的 主要 功能 


TCP/IP 体系 也 称 为 TCP/IP 参考 模型 ,该 模型 从 下 到 上 共 分 为 网 络 接口 层 、 网 际 层 、 
传输 层 和 应 用 层 4 个 子 层 。 各 层 的 主要 功能 如 下 。 

1. 网 络 接口 层 

在 TCP/IP 参考 模型 中 ,网 络 接口 层 属于 最 低 的 一 层 , 它 负责 通过 网 络 发 送 和 接收 分 
组 。 由 于 TCP/IP 参考 模型 并 没有 明确 规定 在 网 络 接口 层 应 该 使 用 哪些 设备 .网 络 和 协议 
这 就 带 来 了 以 下 的 好 处 : 一 是 对 于 网 际 层 及 以 上 各 层 来 说 网 络 接口 层 是 透明 的 ,网 际 层 及 
以 上 各 层 在 功能 实现 过 程 中 不 需要 考虑 网 络 接口 层 使 用 的 是 什么 类 型 的 网 络 .设备 或 协议 。 
二 是 有 利于 TCP/IP 网 络 的 发 展 。 由 于 在 TCP/IP 参考 模型 中 ,网 络 接口 层 的 定义 是 空白 
的 ,所 以 已 有 的 各 种 类 型 的 物理 网 络 都 可 以 作为 TCP/IP 的 网 络 接口 层 存 在 ,如 目前 已 经 使 用 
的 电路 交换 机 、 分 组 交换 网 (如 X. 25, 帧 中 继 等 ) 和 局 域 网 (如 以 太 网 、 令 牌 网 和 FDDI 等 ) 。 

2. 网 际 层 

网 际 层 也 称 为 “互联 网 络 层 ”, 它 相当 于 OSI 参考 模型 网 络 层 的 无 连接 网 络 服务 。 网 际 
层 的 任务 是 : 允许 位 于 同一 网 络 或 不 同 网 络 中 的 两 台 主 机 之 间 以 分 组 的 形式 进行 通信 。 更 


具体 地 讲 , 网 际 层 提供 了 以 下 的 服务 功能 : 一 是 处 理 从 传输 层 接收 下 来 的 报 文 段 发 送 请 求 ， 
然后 将 报 文 段 封 装 到 IP 数据 报 中 ,并 根据 源 主机 和 目的 主机 的 IP 地 址 来 填充 报头 ,然后 根 
据 目 的 主机 的 IP 地 址 选择 一 条 链 路 将 封装 后 的 IP 数据 报 发 送出 去 。 二 是 处 理 从 网 络 接口 
层 接收 到 的 由 其 他 主机 发 送 过 来 的 数据 报 ,根据 数据 报 中 的 目的 地 址 决定 这 个 数据 报 是 发 
送 给 本 主机 的 还 是 要 发 送 给 其 他 主机 的 。 如 果 是 发 送 给 本 主机 的 , 则 在 去 掉 报 头 信息 后 提 
交 给 传输 层 ; 如 果 是 发 送 给 其 他 主机 的 , 则 根据 数据 报 的 目的 IP 地 址 选择 一 条 链 路 进行 转 
发 。 三 是 当 本 主机 连接 两 个 不 同 的 网 络 ( 称 为 * 子 网 ”7 时 ,对 接收 到 的 数据 报 进行 路 由 选择 
和 转发 ,并 进行 流量 控制 和 阻塞 管理 。 

TCP/IP 参考 模型 中 网 际 层 的 协议 是 唯一 的 , 即 IP 协议 。IP 协议 是 一 个 面向 非 连接 
的 ,不 可 靠 的 数据 报 传输 服务 协议 ,所 以 网 际 层 的 IP 协议 提供 了 一 种 “尽力 而 为 (best- 
effort)” 的 服务 。IP 协议 的 协议 数据 单元 (PDU) 称 为 分 组 ,所 以 将 TCP/IP 网 络 也 称 为 分 
组 交换 网 络 。 

3. 传输 层 

在 TCP/IP 参考 模型 中 ,传输 层 位 于 网 际 层 与 应 用 层 之 间 , 其 设计 目标 是 : 允许 在 源 和 
目的 主机 的 对 等 体 之 间 进 行 会 话 ,负责 会 话 对 等 体 的 应 用 进程 之 间 的 通信 。TCP/IP 参考 
模型 的 传输 层 功能 类 似 于 OSI 参考 模型 传输 层 的 功能 。 

在 TCP/IP 参考 模型 的 传输 层 中 定义 了 两 个 端 到 端的 传输 协议 : 传输 控制 协议 TCP 
和 用 户 数 据 报 协 议 (User Datagram Protocol,UDP) 。 

其 中 ,TCP 协议 是 一 个 可 靠 的 ,面向 连接 的 协议 , 它 实现 了 从 一 台 主 机 发 送出 去 的 字 节 
流 (byte stream) 无 差错 地 传输 到 目的 主机 。 在 这 一 过 程 中 ,发 送 主机 的 传输 层 首先 把 从 应 
用 层 接收 到 的 数据 流 划 分 成 为 多 个 小 的 字 节 段 (byte segment), 并 对 每 一 个 字 节 段 进 行 编 
号 。 然 后 ,每 一 个 字 节 段 可 以 通过 不 同 的 路 径 到 达 目 的 主机 ,如 果 某 一 个 字 节 段 在 传输 过 程 
中 出 错 或 丢失 , 则 要 求 发 送 端 进行 重 传 。 当 目的 主机 接收 到 字 节 段 后 ,根据 其 编号 重组 为 原 
来 的 字 节 流 ,并 提交 给 应 用 层 进行 处 理 。TCP 协议 还 负责 处 理 流量 控制 , 当 发 送 端的 发 送 
速率 与 接收 端的 接收 速度 不 匹配 时 (一 般 是 发 送 速率 大 于 接收 速率 ), 调 协 收 、 发 双方 的 速 
率 , 以 确保 字 节 段 的 可 靠 传输 。 

UDP 是 一 个 不 可 靠 的 面向 非 连接 的 传输 层 协议 ,主要 用 于 不 要 求 分 组 顺序 到 达 的 传 
输 中 ,分 组 的 先后 顺序 检查 与 排列 由 应 用 层 的 应 用 程序 完成 。 同 时 ,UDP 主要 应 用 于 “快速 
交付 比 精确 交付 更 加 重要 ”的 应 用 ,如 语音 传输 、 视 频传 输 等 。 

4. 应 用 层 

应 用 层 属于 TCP/IP 参考 模型 的 最 高 层 。 应 用 层 主要 包括 根据 应 用 需要 开发 的 一 些 高 
层 协 议 ,如 TELNET、FTP、SMTP、DNS、SNMP 和 HTTP 等 。 而 且 , 随 着 网 络 应 用 的 不 断 
发 展 ,新 的 应 用 层 协 议 还 会 不 断 出 现 。 

需要 说 明 的 是 ,在 OSI 参考 模型 中 ,在 传输 层 之 上 还 定义 了 会 话 层 和 表示 层 ,而 在 
TCP/IP 参考 模型 中 却 没 有 这 两 层 。 这 是 因为 在 当初 设计 时 ,研究 人 员 认 为 OSI 参考 模型 
的 高 层 划分 过 于 复杂 ,而 且 每 一 层 的 功能 设计 并 不 明确 或 过 于 单一 ,这 样 在 设计 TCP/IP 参 
考 模型 时 就 去 掉 了 这 两 层 。 从 目前 的 应 用 来 看 .TCP/IP 参考 模型 当初 的 这 种 设计 是 正 
确 的 。 
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5.1.3 TCP/IP 网 络 中 分 组 的 传输 示例 


在 掌握 了 TCP/IP 参考 模型 的 分 层 特 点 及 各 层 的 功能 后 ,下 面 通过 一 个 具体 的 实例 向 
读者 介绍 TCP/IP 网 络 中 分 组 的 传输 过 程 , 网 络 拓扑 如 图 5-4 所 示 。 


主机 A 主机 B 

应 用 Y [应 用 X 应 用 X 
如 FTP /和 如 http 如 http 

、 可 ee 区 \ 
Ds TCP \、 

-十 IP 下 IP IP Ds 
(使 用 全 局 地 址 ) (使 用 全 局 地 址 ) (使 用 全 局 地 址 ) || (使 用 全 局 地 址 ) 
网 络 接 入 协议 网 络 接 入 协议 网 络 接 入 协议 网 络 接 入 协议 
(如 以 太 网 ) (如 以 太 网 ) (如 FDDD) (如 FDDI) 


子 网 1 IFO IF1 子 网 2 


路 由 器 A 、 


图 5-4 TCP/IP 网 络 中 数据 的 传输 过 程 


1. 重要 概念 

在 如 图 5-4 所 示 的 通信 过 程 中 ,涉及 到 一 些 关键 技术 和 概念 。 为 便于 对 操作 过 程 的 描 
述 , 下 面 对 一 些 重要 概念 进行 简要 介绍 。 

(1) 子 网 。 一 个 大 型 的 通信 和 网络 由 多 个 子 网 (Subnetwork) 组 成 ,每 一 个 子 网 属于 某 一 
种 特定 类 型 的 网 络 , 如 局 域 网 中 的 以 太 网 、 令 牌 环 网 .FDDI., 广 域 网 中 的 X. 25、 帧 中 继 等 。 
不 同 子 网 之 间 一 般 需 要 路 由 器 进行 连接 ,由 路 由 器 负责 IP 分 组 在 不 同 子 网 之 间 的 转发 。 

(2) 网 络 接 入 协议 。 当 计算 机 接 入 网 络 中 时 ,必须 使 用 这 一 子 网 中 规定 的 接 入 协议 。 
通过 网 络 接 入 协议 ,可 以 让 一 台 主 机 将 数据 通过 子 网 发 送 到 其 他 的 主机 。 例 如 , 当 计算 机 接 
入 以 太 网 时 ,就 需要 使 用 以 太 网 的 接 和 协议 ,通过 主机 的 MAC 地 址 进行 数据 的 转发 。 

(3) 路 由 器 。 它 是 连接 不 同 子 网 的 设备 ,一 台 路 由 器 相当 于 一 个 中 继 站 ,将 一 个 IP 分 
组 从 某 一 子 网 中 的 一 台 主 机 通过 一 个 或 多 个 子 网 发 送 到 目的 主机 。 路 由 器 转发 分 组 的 依据 
是 位 于 每 一 台 路 由 器 中 的 路 由 表 。 当 源 主机 向 目的 主机 发 送 数据 时 ,为 了 保证 数据 能 够 正 
确 到 达 , 其 首要 条 件 是 每 一 台 路 由 器 中 的 路 由 表 必须 是 完善 的 , 即 在 任何 一 台 路 由 器 中 都 有 
同一 网 络 中 其 他 子 网 的 路 由 信息 。 路 由 表 就 好 像 电话 查 号 台 的 电话 号 码 簿 ,如 果 要 保证 能 
够 通过 查 号 台 查 到 用 户 需要 的 电话 ,前提 条 件 是 电话 号 码 短 中 的 记录 是 完整 的 。 路 由 器 工 
作 在 TCP/IP 参考 模型 的 网 际 层 。 

(4) 全 局 地 址 。 对 于 Internet 等 互联 网 络 来 说 ,每 一 台 主 机 必须 拥有 一 个 全 网 唯一 的 
IP 地 址 作为 其 身份 的 唯一 标识 ,这 个 IP 地 址 称 为 全 局 地 址 。 当 源 主机 发 送 数据 到 目的 主 
机 时 , 源 主机 首先 要 知道 目的 主机 的 IP 地 址 。 


(5) 端口 。 主 机 中 的 每 一 个 进程 必须 具有 一 个 在 本 主机 中 唯一 的 地 址 ,这 个 地 址 称 为 
端口 (port) 。 通 过 端口 , 端 到 端的 协议 (如 TCP) 才 能 够 将 数据 正确 地 交付 给 相应 的 进程 。 
IP 地 址 确定 了 网 络 中 唯一 的 一 台 主 机 ,而 端口 确定 了 主机 中 唯一 的 一 个 进程 。 

2. 操作 过 程 

如 图 5-4 所 示 , 下 面 简要 描述 主机 A 与 主机 B 进程 之 间 的 通信 过 程 , 即 数据 在 主机 A 
与 主机 B 之 间 的 转发 过 程 ,通信 中 假设 使 用 了 TCP 协议 。 主 要 过 程 如 下 。 

(1) 假设 主机 A 中 的 某 一 个 应 用 程序 (进程 ) 要 向 主机 B 发 送 数 据 , 这 时 主机 A 中 的 这 
个 进程 将 在 本 机 中 获得 一 个 端口 ,之 后 这 个 进程 就 使 用 这 个 确定 的 端口 进行 通信 ,直到 本 次 
通信 过 程 结 束 该 端口 便 被 释放 。 由 于 TCP 是 一 个 可 靠 的 ,面向 连接 的 通信 协议 ,所 以 在 主 
机 A 与 主机 B 之 间 正 式 传输 数据 之 前 ,主机 B 也 需要 为 这 一 次 通信 过 程 建立 一 个 唯一 的 
端口 。 

(2) 主机 A 上 的 进程 通过 端口 将 字 节 流 (数据 ) 交 给 TCP 协议 ,TCP 协议 根据 网 络 中 

的 约定 将 字 节 流 划 分 成 为 字 节 段 ,即将 大 块 数据 划分 成 为 小 块 的 数据 。 然 后 给 每 一 个 字 节 
段 添 加 控制 信息 , 即 TCP 首部 , 当 在 字 节 段 上 添加 了 TCP 首部 后 称 为 TCP 报 文 段 。TCP 
首部 主要 包括 以 下 内 容 。 
@ 目的 端口 (destination port) 。 即 主机 B 上 对 应 进程 使 用 的 端口 ,这 个 端口 是 在 主机 
A 与 主机 B 正式 发 送 数据 之 前 双方 协商 建立 的 。 主 机 B 在 接收 到 TCP 报 文 段 时 ,根据 端 
口交 付 给 对 应 的 进程 。 因 为 主机 B 除了 与 主机 A 之 间 的 这 一 进程 通信 之 外 ,还 有 可 能 与 主 
机 A 或 其 他 主机 的 不 同 进程 之 间 同 时 进行 通信 。 

@ 序号 (sequence number) 。 根 据 在 字 节 流 中 位 置 的 先后 顺序 给 字 节 段 进行 编号 。 编 
号 的 目的 之 一 是 每 一 个 字 节 段 单独 选择 自己 的 路 由 在 网 络 中 传输 ,目的 之 二 是 当 某 一 个 字 
节 段 在 传输 过 程 中 丢失 或 出 错时 ,接收 方 可 以 让 发 送 方 重 传 该 字 节 段 ,而 不 需要 重 传 整个 字 
节 流 。 

@ 检验 和 (checksum) 。 检 验 和 是 对 每 一 个 字 节 段 ( 不 是 报 文 段 ,因为 不 包括 TCP 首 
部 ) 利 用 某 一 函数 运行 产生 的 值 。 当 接收 端 (主机 B) 接 收 到 该 字 节 段 时 ,也 会 使 用 相同 的 函 
数 进行 运算 ,并 将 运算 值 与 检验 和 进行 比较 。 如 果 相 同 ,说 明 该 字 节 段 在 传输 过 程 中 没有 出 
错 ; 否则 需要 让 对 方 进行 重 传 。 

(3) 主机 A 将 TCP 报 文 段 下 传 给 IP, 并 要 求 它 将 数据 发 送 到 主机 B。 这 时 主机 A 会 
添加 一 个 IP 首部 ,IP 首部 包括 了 源 主机 (主机 A) 的 IP 地址 和 目的 主机 (主机 B) 的 IP 地 
址 。 添 加 了 IP 首部 的 数据 称 为 IP 数据 报 或 IP 分 组 。 

(4) 当 IP 分 组 到 达 网 络 接口 层 时 ,网 络 接口 层 又 加 上 自己 的 首部 , 即 网 络 首部 ,这 时 数 
据 进 入 了 第 一 个 子 网 ( 子 网 1) 。 网 络 首部 根据 接 和 网络 类 型 的 不 同 而 不 同 , 如 以 太 网 、 令 牌 
环 和 FDDI 等 。 但 在 网 络 首部 中 一 般 要 包含 以 下 的 内 容 。 

@ 目的 子 网 地 址 。 子 网 必须 知道 应 将 数据 帧 发 送 给 哪 一 个 相连 设备 ,如 路 由 器 A 上 物 
理 接 口 IF0 的 物理 地 址 。 

@ 设施 请 求 。 网 络 接 入 协议 可 能 会 请 求 使 用 特定 的 子 网 设施 ,如 优先 级 等 。 

将 添加 了 网 络 首部 的 数据 单元 称 为 网 络 级 分 组 或 数据 帧 。 

(5) 数据 帧 到 了 路 由 器 A 后 ,首先 被 去 掉 网 络 首部 ,得 到 IP 数据 报 , 并 根据 IP 首部 的 
信息 知道 目的 主机 的 IP 地 址 。 然 后 在 路 由 表 中 查询 该 IP 地 址 ,如 果 找 到 对 应 的 表 项 , 则 根 
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据 表 项 中 的 信息 (其 中 主要 包括 路 由 器 上 对 应 的 物理 接口 ,如 IF1) 将 该 IP 数据 报 转发 出 
去 。 为 了 实现 这 一 过 程 ,在 路 由 器 A 上 还 需要 根据 下 一 子 网 的 类 型 添加 网 络 首部 。 如 果 网 
络 中 存在 多 个 子 网 ,连接 不 同 子 网 的 路 由 器 都 要 进行 类 似 于 路 由 器 A 的 操作 。 

(6) 当 数 据 到 达 主 机 B 后 ,其 操作 过 程 与 主机 A 的 正好 相反 。 在 每 一 层 都 要 去 掉 相应 
的 首部 ,并 进行 相应 的 约定 操作 (如 检验 等 ) ,然后 将 数据 交付 给 上 层 ,直到 将 原始 数据 ( 字 节 
流 ) 交 付 给 指定 的 进程 。 

在 TCP/IP 参考 模型 中 ,每 一 层 的 数据 称 为 协议 数据 单元 (PDU) ,例如 TCP 报 文 段 也 
称 为 TCP PDU。 在 数据 发 送 端 ,在 每 一 层 添加 首部 信息 的 过 程 称 为 数据 封装 ,如 图 5-5 所 
示 。 在 数据 接收 端 ,每 一 层 去 掉 首部 信息 的 过 程 称 为 数据 解 封 。 


应 用 层 用 户 数据 字 节 流 


| 
《 答 层 情 用 户 数据 习 TCP 报 文 段 
1 1 
1 | 
网 际 接 入 层 | 居 经 IP 数 据 报 i 
乐 接 入 层 | 首部 网 络 级 分 组 或 帧 


图 5-5 TCP/IP 网 络 中 数据 的 封装 过 程 


5.2 ARP 安 全 


ARP(Address Resolution Protocol, 地 址 解析 协议 ) 用 来 将 IP 地 址 映射 到 MAC 地 址 ， 
以 便 设备 能 够 在 共享 介质 的 网 络 (如 以 太 网 ) 中 通信 。 


5.2.1 ARP 概述 


可 以 举 一 个 例子 很 好 地 说 明 ARP 是 如 何 工 作 的 。 老 师 要 将 一 封 信 交 给 教室 里 的 某 个 
学 生 , 但 是 她 并 不 认识 这 个 学 生 , 她 只 知道 这 个 学 生 的 姓名 (IP 地 址 ) ,于 是 她 对 教室 里 所 有 
的 人 说 :“ 谁 是 王 X X ,有 你 的 信 !”(ARP 请 求 ), 当 王 X X 听 到 这 个 消息 时 (地 址 匹配 ), 他 
站 起 来 回答 ,然后 老师 就 知道 了 他 坐 在 几 排 几 座 (MAC 地 址 ) ,最 后 把 信 送 到 他 座位 上 。 

在 ARP 协议 的 实现 中 还 有 一 些 应 该 注意 的 事项 。 

(1) 每 台 计算 机 上 都 有 一 个 ARP 缓冲 , 它 保存 了 一 定数 量 的 从 IP 地 址 到 物理 地 址 
(MAC 地 址 ) 的 映射 。 同 时 当 一 个 ARP 广播 到 来 时 ,虽然 这 个 ARP 广播 可 能 与 它 无 关 , 但 
ARP 协议 软件 也 会 把 其 中 的 物理 地 址 与 IP 地 址 的 映射 记录 下 来 ,这 样 做 的 好 处 是 能 够 减 
少 ARP 报 文 在 局 域 网 上 发 送 的 次 数 。 

(2) 按照 默认 设置 ,ARP 高 速 缓存 中 的 项 目 是 动态 的 ,ARP 缓冲 中 IP 地 址 与 物理 地 址 
之 间 的 映射 并 不 是 一 旦 生成 就 永久 有 效 的 。 每 一 个 ARP 映射 表 项 都 有 自己 的 寿命 ,如 果 
在 一 段 时 间 内 没有 使 用 ,那么 这 个 ARP 映射 就 会 从 缓冲 中 被 删除 ,这 一 点 和 交换 机 MAC 
地 址 表 的 原理 一 样 。 这 种 老化 机 制 , 大 大 减少 了 ARP 缓存 表 的 长 度 ,加 快 了 查询 速度 。 


在 以 太 网 中 ,当主 机 要 确定 某 个 IP 地 址 的 MAC 地 址 时 , 它 会 先 检查 自己 的 ARP 缓冲 
表 , 如 果 目 标 地 址 不 包含 在 该 缓冲 表 中 ,主机 就 会 发 送 一 个 ARP 请 求 ( 广 播 形 式 ), 网 段 上 
的 任何 主机 都 可 以 接收 到 该 广播 ,但 是 只 有 目标 主机 才 会 响应 此 ARP 请 求 。 由 于 目标 主 
机 在 收 到 ARP 请 求 时 可 以 学 习 到 发 送 方 的 IP 地 址 到 MAC 地 址 的 映射 ,因此 它 采 用 一 
单 播 消息 来 回应 请 求 。 这 个 过 程 如 图 5-6 所 示 。 


我 的 IP 地 址 是 192.168.1.1 
我 的 MAC 地 址 是 11-11-11-11-11-11 


我 需要 192. 168.1.3 的 MAC 地 址 广播 
+ + + 
, | | | 
四 | 
三 三 = 
192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.4 


图 5-6 ARP 请 求 的 过 程 


在 图 5-6 中 ,主机 A 以 广播 形式 发 送 ARP 请 求 查询 IP 地 址 为 192. 168. 1. 3 的 主机 的 
MAC 地 址 ,网 段 上 所 有 的 主机 都 会 收 到 该 ARP 请 求 。 
如 图 5-7 所 示 , 主 机 B、 主 机 DD 收 到 主机 A 发 来 的 ARP 请 求 时 ,它们 发 现 这 个 请 求 不 是 
给 自己 的 ,因此 它们 忽略 这 个 请 求 , 但 是 它们 还 是 将 主机 A 的 IP 地 址 到 MAC 地 址 的 映 
射 记录 到 自己 的 ARP 表 中 。 当 主机 C 收 到 主机 A 发 来 的 ARP 请 求 时 , 它 发 现 这 个 ARP 
请 求 是 发 给 自己 的 ,于 是 它 用 单 播 消息 回应 ARP 请 求 ,同时 记录 下 主机 A 的 IP 地址 到 
MAC 地 址 的 映射 。 


我 的 下 地 址 1 168.1.3 


192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.4 


ARP table 
11-11-11-11-11-11 192.168.1.1 


图 5-7 ARP 回应 的 过 程 


反 向 ARP(Reverse Address Resolution Protocol, RARP) 是 ARP 的 逆 过 程 , 即 通 过 
MAC 地 址 找到 对 应 的 IP 地 址 。 


5.2.2 ARP 欺骗 


通过 对 5. 2. 1 小 节 内 容 的 学 习 , 读 者 会 发 现 ARP 本 来 是 局 域 网 中 计算 机 之 间 通 信 时 所 
采用 的 一 种 非常 有 效 的 协议 。 但 是 ,由 于 一 台 ARP 主机 在 给 另 一 台 主 机 发 送 ARP 响应 
时 ,并 不 一 定 首先 要 得 到 另 一 台 主机 的 ARP 请 求 ,局 域 网 中 的 任何 一 台 主 机 都 可 以 给 其 他 
主机 发 送 公 告 : 我 的 了 P 地 址 是 X X ,我 的 MAC 地 址 是 x X 。 这 种 协议 设计 上 的 漏洞 便 为 
网 络 攻击 提供 了 可 乘 之 机 。 
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1. ARP 欺骗 的 概念 和 现状 

由 于 ARP 协议 在 设计 中 存在 的 主动 发 送 ARP 报 文 的 漏洞 ,使 得 主机 可 以 发 送 虚假 的 
ARP 请 求 报 文 或 响应 报 文 , 报 文中 的 源 IP 地 址 和 源 MAC 地 址 均 可 以 进行 伪造 。 在 局 域 
网 中 , 即 可 以 伪造 成 某 一 台 主 机 (如 服务 器 ) 的 IP 地 址 和 MAC 地 址 的 组 合 ,也 可 以 伪造 成 
网 关 的 IP 地 址 和 MAC 地 址 的 组 合 等 。 这 种 组 合 可 以 根据 攻击 者 的 意图 进行 任意 搭配 ,而 
现 有 的 局 域 网 中 却 没 有 相应 的 机 制 和 协议 来 防止 这 种 伪造 行为 。 近 几 年 来 ,局 域 网 中 的 
ARP 欺骗 已 经 泛滥 成 灾 , 几 乎 没有 一 个 局 域 网 未 遭遇 过 ARP 欺骗 的 侵害 。 

由 于 ARP 协议 工作 在 TCP/IP 参考 模型 的 网 际 层 与 网 络 接口 层 之 间 (OSI 参考 模型 的 
网 络 层 与 数据 链 路 层 之 间 ), 所 以 现 有 的 网 管 软件 和 防 病 毒 软件 几乎 对 ARP 欺骗 无 能 为 
力 ,网 络 管理 员 只 能 通过 地 址 绑 定 等 最 简单 和 原始 的 方法 来 防御 ARP 欺骗 ,而 缺乏 一 种 行 
之 有 效 的 全 网 解决 方案 。 

从 大 量 的 ARP 欺骗 行为 来 看 ,虽然 有 一 部 分 是 为 了 窃取 他 人 计算 机 上 发 送 的 报 文 信 
息 ,但 占 的 比例 并 不 大 。 目 前 , 绝 大 部 分 ARP 欺骗 是 为 了 扰乱 局 域 网 中 合法 主机 中 保存 的 
ARP 表 , 使 得 网 络 中 的 合法 主机 无 法 正常 通信 或 通信 不 正常 ,如 表现 为 计算 机 无 法 上 网 或 
上 网 时 断 时 续 等 。ARP 欺骗 中 的 主机 是 指 主要 以 MAC 地 址 作为 通信 地 址 的 设备 ,如 局 域 
网 中 的 计算 机 、 交 换 机 等 。 所 以 ,下 面 将 分 别针 对 计算 机 和 交换 机 来 介绍 ARP 欺骗 的 
现象 。 

2. 针对 计算 机 的 ARP 欺骗 

要 全 面 理 解 ARP 欺骗 ,首先 要 掌握 如 图 5-3 所 示 的 TCP/IP 体系 结构 的 工作 特点 , 即 
明确 ARP 协议 在 TCP/IP 参考 模型 中 的 位 置 : 网 际 层 与 网 络 接口 层 之 间 。 目 前 ,局 域 网 中 
的 ARP 欺骗 形式 多 种 多 样 ,下面 仅 以 最 常见 的 一 种 ARP 欺骗 现象 为 例 进行 介绍 。 

如 图 5-8 所 示 ,假设 主机 A 向 主机 B 发 送 数据 。 在 主机 A 中 , 当 应 用 程序 要 发 送 的 数 
据 到 了 TCP/IP 参考 模型 的 网 际 层 与 网 络 接口 层 之 间 时 ,主机 A 在 ARP 缓存 表 中 查找 是 
否 有 主机 B 的 MAC 地址 (其 实 是 主机 B 的 IP 地 址 与 MAC 地 址 的 对 应 关系 )。 如 果 有 , 则 
直接 将 该 MAC 地 址 (22-22-22-22-22-22) 作 为 目的 MAC 地 址 添加 到 数据 单元 的 网 络 首部 
(位 于 网 络 接口 层 ) ,成 为 数据 帧 。 在 局 域 网 (同一 IP 网 段 , 如 本 例 的 192. 168. 1. x) 中 ,主机 利 
用 MAC 地 址 作为 寻 址 的 依据 ,所 以 主机 A 根据 主机 也 的 MAC 地 址 ,将 数据 帧 发 送 给 主机 B。 


者 主机 IP 地 址 MAC 地 址 
者 主机 A | 192.168.1.1 | 11-11-11-11-11-11 


好 主机 B | 192.168.1.2 | 22-22-22-22-22-22 


者 主机 C | 192.168.1.3 | 33-33-33-33-33-33 


好 主机 D | 192.168.1.4 | 44-44-44-44-44-44 


好 主机 E | 192.168.1.5 | 55-55-55-55-55-55 


图 5-8 主机 中 IP 地址 与 MAC 地址 的 对 应 关系 示意 图 


如 果 主 机 A 在 ARP 缓存 表 中 没有 找到 目标 主机 B 的 IP 地 址 对 应 的 MAC 地址 ,主机 
A 就 会 在 网 络 上 发 送 一 个 广播 帧 ,该 广播 帧 的 目的 MAC 地 址 是 FF. FF. FF. FF. FF. FF, 表 
示 向 局 域 网 内 的 所 有 主机 发 出 这 样 的 询问 : IP 地 址 为 192. 168. 1. 2 的 MAC 地 址 是 什么 ? 


在 局 域 网 中 所 有 的 主机 都 会 接收 到 该 广播 帧 ,但 在 正常 情况 下 因为 只 有 主机 也 的 IP 地 址 是 
192.168.1.2, 所 以 主机 B 会 对 该 广播 帧 进行 ARP 响应 , 即 向 主机 A 发 送 一 个 ARP 响应 
帧 ; 我 (IP 地 址 是 192. 168. 1.2) 的 MAC 地 址 是 22-22-22-22-22-22。 

这 样 ,主机 A 就 知道 了 主机 B 的 MAC 地 址 , 它 就 可 以 向 主机 B 发 送 数据 了 。 同 时 主 
机 A 还 会 更 新 自己 的 ARP 缓存 表 , 将 主机 B 的 IP 地 址 与 MAC 地 址 的 对 应 关系 保存 在 自 
己 的 ARP 缓存 表 中 ,以 供 下 次 通信 时 直接 使 用 ,避免 进行 广播 查询 。 

但 是 ,主机 的 ARP 缓存 中 并 不 会 保存 所 有 参与 过 通信 的 主机 的 IP 地 址 和 MAC 地址 
的 对 应 关系 ,而 是 采用 了 老化 机 制 防止 ARP 缓存 表 过 于 庞大 ,因为 过 于 庞大 的 ARP 缓存 
表 会 影响 主机 的 通信 效率 。 在 一 段 时 间 内 ,如 果 ARP 缓存 表 中 的 某 一 条 记录 没有 使 用 ,就 
会 被 删除 。 

从 上 面 的 例子 可 以 看 出 ,ARP 协议 的 基础 就 是 信任 局 域 网 内 所 有 的 主机 ,这 样 就 很 容 
易 实现 在 局 域 网 内 的 ARP 欺骗 。 如 果 现 在 主机 D 要 对 主机 A 进行 ARP 欺骗 ,冒充 自己 是 
主机 C。 具 体 实 施 中 ,当主 机 A 要 与 主机 C 进行 通信 时 ,主机 DD 主动 告诉 主机 A 自己 的 IP 
地 址 和 MAC 地址 的 组 合 是 192. 168. 1. 3 十 44-44-44-44-44-44 ,这 样 当主 机 A 要 发 送 给 主机 
C 数据 时 ,会 将 主机 D 的 MAC 地址 44-44-44-44-44-44 添加 到 数据 帧 的 目的 MAC 地 址 中 ， 
从 而 将 本 来 要 发 给 主机 C 的 数据 发 给 了 主机 D, 实 现 了 ARP 欺骗。 在 整个 ARP 欺骗 过 程 
中 ,主机 D 称 为 “中 间 人 (man in the middle)”, 对 这 一 中 间 人 的 存在 主机 A 根本 没有 意 
识 到 。 

通过 以 上 的 ARP 欺骗 ,使 主机 A 与 主机 C 之 间断 开 了 联系 。 如 图 5-9 所 示 , 现 在 假设 主 
机 C 是 局 域 网 中 的 网 关 , 而 主机 D 为 ARP 欺骗 者 。 这 样 ,当局 域 网 中 的 计算 机 要 与 其 他 网 络 
进行 通信 (如 访问 Internet) 时 ,所 有 发 往 其 他 网 络 的 数据 全 部 发 给 了 主机 D, 而 主机 D 并 非 真 
正 的 网 关 , 这 样 整个 网 络 将 无 法 与 其 他 网 络 进行 通信 。 这 种 现象 在 ARP 欺骗 中 非常 普遍 。 


Internet 


找 不 到 正确 的 网 关 ， 
所 有 访问 Internet 的 网 关 正常 的 网 络 访问 
数据 包 全 部 发 给 主机 D IP:192.168.1.3 数据 包 ,如 WWW 、 
MAC:33-33-33-33-33-33 FTP 和 MSN 等 
® © 


@ 交换 机 
[CJ 发 送 ARP 网 骗 , 告 | |「 更 新 AR 缓存 表 |@ [| 
诉 192.168.1.3 对 将 :192.168.1.3 对 应 


应 的 MAC 地 址 为 | | 的 MAC 地 址 设置 为 
ARP 和 欺骗 者 (主机 D) |44-44-44-44-44-44| “| 44-44-44-44-44-44 

IP:192.168.1.4 
MAC:44-44-44-44-44-44 


主机 A 
IP:192.168.1.1 
MAC:11-11-11-11-11-11 
注 :DD 正常 访问 ; @ 进 行 ARP 欺 骗 ; @ 被 欺骗 主机 更 新 白 己 的 ARP 缓 存 表 ; @ 被 欺骗 主机 无 法 正常 访问 Internet 


图 5-9 ARP 欺骗 的 实现 过 程 


3. 针对 交换 机 的 ARP 欺骗 
交换 机 的 工作 原理 是 通过 主动 学 习 下 连 设备 的 MAC 地 址 ,并 建立 维护 端口 及 MAC 
地 址 的 对 应 表 , 即 交换 机 中 的 MAC 地 址 表 。 通 过 MAC 地 址 表 , 实 现下 连 设备 之 间 的 通 


TCP/IP 体系 的 妙 议 颁 会 


计算 机 网 络 安 会 技术 


出 


信 。 交 换 机 中 的 MAC 地 址 表 也 称 为 CAM(Content Addressable Memory, 内 容 可 寻 址 存 
储 器 ) ,如 图 5-10 所 示 。 


不 选 定 Telnet 172. 16. 34. 10 


ULAN ID Permanent 
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图 5-10 交换 机 中 的 MAC 地 址 表 


交换 机 中 的 CAM 表 详 细 地 记录 了 参与 通信 的 下 连 设备 的 MAC 与 交换 机 端口 的 一 一 

对 应 关系 。CAM 表 在 交换 机 加 电 启 动 时 是 空 的 ,当下 连 的 某 一 台 主 机 要 通信 时 ,交换 机 会 
9 动 将 该 主机 的 MAC 地 址 与 下 连 端口 的 对 应 关系 记录 下 来 ,在 CAM 表 中 形成 一 条 记录 ， 
将 这 一 过 程 称 为 交换 机 的 学 习 。CAM 表 的 大 小 是 固定 的 ,不 同 交换 机 的 CAM 表 大 小 可 能 
不 同 。 
在 进行 ARP 欺骗 时 ,ARP 欺骗 者 利用 工具 产生 欺骗 MAC ,并 快速 填 满 CAM 表 。 交 
换 机 的 CAM 表 被 填 满 后 ,交换 机 便 以 广播 方式 处 理 通过 交换 机 的 数据 帧 ,这 时 ARP 欺骗 
者 可 以 利用 各 种 嗅 探 攻击 获取 网 络 信息 。CAM 表 被 填 满 后 ,流量 便 以 洪 泛 (Flood) 方 式 发 
送 到 所 有 端口 ,其 中 交换 机 上 连 端口 CTrunk 端口 ) 上 的 流量 也 会 发 送 给 所 有 端口 和 邻接 交 
换 机 。 这 时 的 交换 机 其 实 已 成 为 一 台 集线器 。 与 集线器 不 同 , 由 于 交换 机 上 有 CPU 和 内 
存 , 大 量 的 ARP 欺骗 流量 会 给 交换 机 产生 流量 过 载 , 其 结果 是 下 连 主机 的 网 络 速度 变 慢 ， 
并 造成 数据 包 技 失 ,甚至 产生 网 络 瘫 疯 。 

在 计算 机 网 络 中 曾经 出 现 的 SQL 蠕虫 病毒 就 是 利用 组 播 功 能 ,构造 虚假 的 目的 MAC 
地 址 将 交换 机 的 CAM 表 填 满 , 对 网 络 安 全 运行 造成 了 非常 大 的 威胁 。 


5.2.3 实验 操作 1 ARP 欺骗 的 防范 


由 于 ARP 欺骗 方式 多 种 多 样 , 所 以 对 ARP 欺骗 的 防范 方法 也 不 尽 相 同 。 下 面 以 上 文 
介绍 的 针对 计算 机 的 ARP 欺骗 和 针对 交换 机 的 ARP 欺骗 为 例 ,分 别 介绍 与 之 对 应 的 防范 
施法 
1. 针对 计算 机 ARP 欺骗 的 防范 
ARP 缓存 表 中 的 记录 可 以 是 动态 的 (基于 前 面 介绍 的 ARP 响应 ), 也 可 以 是 静态 的 。 
如 果 ARP 缓存 表 中 的 记录 是 动态 的 , 即 为 了 减少 ARP 缓存 表 的 长 度 ,加 快 查 询 速 度 , ARP 


缓存 表 采 用 了 老化 机 制 ,在 一 段 时 间 内 如 果 表 中 的 某 一 条 记录 没有 使 用 就 会 被 删除 。 其 中 ， 
Windows 操作 系统 的 老化 时 间 默 认为 2 分 钟 ,而 Cisco 路 由 器 老化 时 间 默 认为 5 分 钟 。 

静态 ARP 缓存 表 中 的 记录 是 永久 性 的 ,用 户 可 以 使 用 TCP/IP 工具 来 创建 和 修改 ,如 
Windows 操作 系统 自 带 的 ARP 工具 。 下 面 用 类 似 于 图 5-9 所 示 的 网 络 环境 ,以 Windows 
操作 系统 为 例 , 通 过 在 用 户 计 算 机 上 绑 定 网 关 的 IP 地 址 和 MAC 地 址 的 方法 来 防范 出 现 网 
关 地 址 的 ARP 欺骗 。 具 体操 作 如 下 。 

(1) 进入 “命令 提示 符 ” 窗 口 ,在 确保 网 络 连接 正常 的 情况 下 ,使 用 Ping 命令 Ping 网 关 
的 IP 地 址 ,如 Ping 172. 16. 2. 1 。 

(2) 在 保证 Ping 网 关 IP 地 址 正常 的 情况 下 ,输入 arp-a 命令 ,可 以 获得 网 关 IP 地 址 对 
应 的 MAC 地 址 ,如 图 5-11 所 示 。 


图 5-11 使 用 arp-a 命令 显示 网 关 IP 地 址 对 应 的 MAC 地 址 


读者 会 发 现 , 这 时 该 计算 机 上 网 关 对 应 的 ARP 记录 类 型 是 动态 的 。 
(3) 利用 “arp-s 网 关 IP 地 址 网 关 MAC 地 址 ?将 本 机 中 ARP 缓存 表 中 网 关 的 记录 类 
型 设置 为 静态 ,如 图 5-12 所 示 。 


5 选 定 C:\WINDOWS\systen32\cad. exe 


R 


:\Docunents and Settings\wan 


172.16.2.1 99-Ba-8a-2d-a5-ff| 


Lp -= 


:pocuments and Settingswangqun>。 


图 5-12 将 ARP 缓存 中 的 网 关 记录 设置 为 静态 类 型 


(4) 如 果 再 次 输入 arp-a 命令 ,就 会 发 现 ARP 缓存 表 中 网 关 的 记录 已 被 设置 为 静态 

以 上 操作 仅 适 用 于 实验 环境 ,因为 利用 以 上 手工 设置 方式 修改 的 ARP 缓存 表 中 的 记 
录 , 会 在 计算 机 重新 启动 后 失效 ,需要 再 次 绑 定 。 这 显然 在 实际 的 网 络 环境 中 是 不 适用 的 。 
为 解决 这 一 问题 ,针对 以 上 操作 ,可 以 编写 一 个 批 处 理 文件 (如 arp. bat) ,然后 将 该 批 处 理 文 
件 添加 到 Windows 操作 系统 的 “启动 ? 栏 中 ,这 样 每 次 开机 后 系统 便 会 进行 自动 绑 定 。 批 处 
理 文件 的 内 容 如 下 。 


(Qecho off 
arp-d 
arp-s 172.16.2.1 00-0a-8a-2d-a5-ff 
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击 吕 蛋 


计算 机 网 络 安 全 技术 


以 上 介绍 是 针对 网 关 进 行 的 设置 。 如 果 用 户 的 计算 机 需要 经 常 与 另 一 台 计 算 机 之 间 进 行 
可 靠 的 通信 , 则 可 以 将 对 方 计算 机 的 ARP 记录 以 静态 方式 添加 到 本 机 的 ARP 缓存 表 中 。 

2. 针对 交换 机 ARP 欺骗 的 防范 

在 交换 机 上 防范 ARP 欺骗 的 方法 与 在 计算 机 上 防范 ARP 欺骗 的 方法 基本 相同 ,还 是 
使 用 将 下 连 设备 的 MAC 地 址 与 交换 机 端口 进行 一 一 绑 定 的 方法 来 实现 。 在 不 同 交 换 机 上 
实现 地 址 绑 定 的 操作 方法 可 能 不 同 ,Cisco 系列 交换 机 上 实现 地 址 绑 定 的 操作 方法 可 参看 
本 书 第 4 章 的 4. 3. 1 节 的 内 容 。 

目前 ,主流 的 交换 机 (如 Cisco、H3C 和 3COM 等 ) 都 提供 了 端口 安全 功能 (Port 
Security feature) 。 通 过 使 用 端口 安全 功能 ,可 以 进行 如 下 的 控制 。 

(1) 端口 上 最 大 可 以 通过 的 MAC 地 址 数量 。 

(2) 端口 上 只 能 使 用 指定 的 MAC 地 址 。 

对 于 不 符合 以 上 规定 的 MAC 地 址 ,进行 相应 的 违背 规则 的 处 理 。 一 般 有 如 下 三 种 方 
式 (针对 交换 机 类 型 和 型 号 的 不 同 ,具体 方式 可 能 会 有 所 不 同 )。 

(1) Shutdown。 即 关闭 端口 。 虽 然 这 种 方式 是 最 有 效 的 一 种 保护 方式 ,但 会 给 管理 员 
带 来 许多 不 便 ,因为 被 关闭 的 端口 一 般 需要 通过 手工 方式 进行 重启 。 

(2) Protect。 直 接 丢弃 非法 流量 ,但 不 报警 。 

(3) Restrict。 丢 弃 非 法 流量 , 且 产 生 报警 。 

通过 利用 端口 安全 功能 ,可 以 防范 交换 机 MAC/CAM 攻击 。 下 面 以 Cisco 系列 交换 机 
为 例 进行 介绍 ,其 他 交换 机 的 配置 原理 与 此 基本 相同 ,具体 的 配置 命令 可 参阅 相关 的 技术 
文档 。 

在 进行 端口 安全 功能 设置 时 ,端口 上 的 MAC 地 址 既 可 以 通过 交换 机 的 自动 学 习 功 能 
获得 ,也 可 以 通过 手工 方式 进行 MAC 地 址 与 端口 的 绑 定 。 当 通过 自动 学 习 功 能 获得 MAC 
地 址 时 ,交换 机 重启 后 会 主动 学 习 下 连 端 口 设备 的 MAC 地 址 ,直到 学 习 到 的 MAC 地 址 数 
达到 设置 的 数量 。 但 是 , 当 交 换 机 关机 或 重启 后 又 要 进行 重新 学 习 。 下 面 以 交换 机 的 端口 
fastethernet0/1 为 例 ,通过 手工 方式 进行 MAC 地 址 与 端口 的 绑 定 ,介绍 端口 安全 的 配置 方法 。 

Switch 并 conf t (进入 配置 模式 ) 

Switch(config) # interface fastethernet0/1 (选择 fastethernet0/1 端口 ,进入 该 端口 配置 状态 ) 

Switch(config-if) # switchport port-security maximum 2 (设置 最 大 MAC 地 址 数 为 2) 

Switch(config-if) # switchport port-security violation shutdown ( 当 违 背 安全 规则 后 自动 关闭 

端口 ) 

Switch(config-if) #end (退出 配置 模式 ) 

Switch #wr (保存 设置 ) 


目前 较 新 的 端口 安全 技术 是 Sticky Port Security, 它 克服 了 Port Security feature 存在 
的 交换 机 重启 后 CAM 表 中 自动 学 习 获 得 的 MAC 地 址 会 丢失 的 不 足 ,交换 机 可 以 将 学 到 
的 MAC 地 址 写 人 到 端口 配置 中 ,即使 交换 机 重启 或 关机 ,配置 仍然 存在 。 

还 需要 说 明 的 是 ,由 于 ARP 欺骗 的 严重 性 ,许多 交换 机 设备 制造 商 纷 纷 推出 了 可 以 防 
范 ARP 欺骗 功能 的 交换 机 产品 。 这 些 产品 的 效果 确实 不 错 ,但 有 一 个 前 提 是 该 网 络 中 所 
有 的 交换 机 都 必须 使 用 同一 个 厂商 的 产品 ,而 且 对 交换 机 的 型 号 也 有 一 定 的 要 求 ,有 些 早期 
的 交换 机 可 能 无 法 支持 此 功能 。 


5.3 DHCP 安 全 


DHCP(Dynamic Host Configuration Protocol ,动态 主机 配置 协议 ) 是 一 个 客户 机 /服务 
器 协议 ,在 TCP/IP 网 络 中 对 客户 机 动态 分 配 和 管理 IP 地 址 等 配置 信息 ,以 简化 网 络 配置 ， 
方便 用 户 使 用 及 管理 员 的 管理 。 


5.3.1 DHCP 概述 


一 台 DHCP 服务 器 可 以 是 一 台 运 行 Windows Server 2000/2003/2008、UNIX 或 Linux 的 
计算 机 ,也 可 以 是 一 台 路 由 器 或 交换 机 。DHCP 的 工作 过 程 如 图 5-13 所 示 。 具 体操 作 过 程 如 下 。 

(1) DHCP 客户 端 首次 初始 化 时 会 向 DHCP 
服务 器 发 送 一 个 请 求 (DHCPDISCOVER) ,请 求 
获得 人 P 寻 址 信息 ,这 个 寻 址 信息 包括 IP 地 址 、 _DHCPOFFER( 间 二 ) 
子 网 掩 码 .默认 网 关 和 DNS 服务 器 地 址 等 请求“ 一 芋 ] | pHCPREQUEST(- 搬 ) 
中 同时 也 包含 了 客户 机 自己 的 MAC 地 址 信息 。 名 史 用 | phcpAcK 播 ) 
DHCPDISCOVER 以 广播 形式 发 送 , 网 段 上 的 所 
有 设备 都 会 收 到 这 个 请 求 。 网 513 了 CR 的 工作 着 各 

(2) 当 DHCP 服务 器 接收 到 请 求 时 , 它 会 从 自己 的 地 址 池 中 选择 一 个 IP 地 址 分 配给 客 
户 机 ,并 且 把 其 他 TCP/IP 配置 一 起 发 送 过 去 (DHCPOFFER)。DHCPOFFER 以 单 播 形式 
发 送 , 因 为 它 是 针对 某 个 具体 主机 的 消息 ,DHCP 服务 器 可 以 从 DHCPDISCOVER 消息 中 
获得 客户 机 的 MAC 地 址 。 

(3) 当 客 户 端 接收 到 服务 器 所 提供 的 信息 时 , 它 又 以 广播 方式 发 送 一 个 
DHCPREQUEST 消息 ,指明 我 需要 得 到 你 的 服务 。 

需要 注意 的 是 ,为 什么 还 要 以 广播 形式 发 送 DHCPREQUEST 消息 呢 ? 如果 一 个 网 段 
上 存在 多 个 DHCP 服务 器 ,那么 DHCP 客户 端 可 能 会 收 到 多 个 DHCP 服务 器 响应 的 
DHCPOFFER 消息 ,DHCP 客户 端 只 会 选择 最 先 收 到 的 那个 DHCPOFFER 消息 。 所 以 ， 
以 广播 方式 发 送 DHCPREQUEST 消息 有 两 个 作用 。 一 是 通知 那个 服务 器 : 我 已 经 收 到 你 
所 提供 的 IP 地 址 ,我 需要 你 的 服务 ; 二 是 通知 网 络 上 其 他 DHCP 服务 器 : 我 拒绝 你 们 提供 
的 IP 寻 址 信息 。 

(4) DHCP 服务 器 接收 到 DHCPREQUEST 消息 后 , 它 会 将 所 提供 的 IP 地 址 和 其 他 设 
置 交 给 数据 库 ,并 且 向 DHCP 客户 端 以 单 播 形 式 发 送 一 个 DHCPACK 消息 ,确认 DHCP 过 
程 已 经 完成 。 

经 过 以 上 几 个 步骤 ,这 个 IP 地 址 就 会 租 给 这 个 客户 端 一 段 时 间 ,在 租用 期 间 , 客 户 端 每 次 
登录 时 都 会 向 服务 器 发 出 这 个 IP 地 址 的 续 定 请 求 (DHCPREQUEST)。 如 果 租 用 期 到 了 ,但 
是 客户 端 没 有 续 租 ,这 个 IP 地 址 就 会 退回 到 DHCP 服务 器 的 地 址 池 中 等 待 重新 分 配 。 


5.3.2 DHCP 的 安全 问题 


在 通过 DHCP 提供 客户 端 IP 地 址 等 信息 分 配 的 网 络 中 存在 着 一 个 非常 大 的 安全 隐 
患 : 当 一 台 运 行 有 DHCP 客户 端 程序 的 计算 机 连接 到 网 络 中 时 ,即使 是 一 个 没有 权限 使 用 
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网 络 的 非法 用 户 也 能 很 容易 地 从 DHCP 服务 器 获得 一 个 IP 地 址 及 网 关 、DNS 等 信息 ,成 为 
网 络 的 合法 使 用 者 。 由 于 在 TCP/IP 网 络 中 ,很 多 权限 是 基于 IP 地 址 来 设置 的 ,与 设备 的 
MAC 地 址 不 同 的 是 IP 地 址 属于 逻辑 地 址 ,IP 地 址 具有 不 确定 性 ,所 以 如 果 要 进行 基于 IP 
的 认证 或 权限 控制 是 没有 意义 的 (此 问题 已 在 本 书 第 4 章 进行 了 讨论 )。 

由 于 DHCP 客户 端 在 获得 DHCP 服务 器 的 IP 地 址 等 信息 时 ,系统 没有 提供 对 合法 
DHCP 服务 器 的 认证 ,所 以 DHCP 客户 端 从 首先 得 到 DHCP 响应 (DHCPOFFER ) 的 
DHCP 服务 器 处 获得 IP 地 址 等 信息 。 为 此 ,不 管 是 人 为 的 网 络 攻击 或 破坏 ,还 是 无 意 的 
操作 ,一 旦 在 网 络 中 接 人 了 一 台 DHCP 服务 器 ,该 DHCP 服务 器 就 可 以 为 DHCP 客户 端 
提供 IP 地址 等 信息 的 服务 。 其 结果 是 客户 端 从 非法 DHCP 服务 器 获得 了 不 正确 的 IP 地 
址 、 网 关 和 DNS 等 参数 ,无 法 实现 正常 的 网 络 连 接 ; 或 客户 端 从 非法 DHCP 服务 器 处 获 
得 的 IP 地 址 与 网 络 中 正常 用 户 使 用 的 IP 地 址 冲突 ,影响 了 网 络 的 正常 运行 。 尤 其 是 当 
客户 端 获得 的 IP 地址 与 网 络 中 某 些 重要 服务 器 的 IP 地 址 冲突 时 ,整个 网 络 将 处 于 混乱 

如 图 5-14 所 示 ,一 台 非 法 DHCP 服务 器 接 入 到 了 网 络 中 ,并 冒充 为 这 个 网 段 中 的 合法 
DHCP 服务 器 。 这 时 , 如果 有 一 台 DHCP 客户 端 接 入 到 网 络 ,将 向 网 络 中 广播 一 个 
DHCPDISCOVER 的 请 求 信息 ,由 于 非法 DHCP 服务 器 与 DHCP 客户 端 处 于 同一 个 网 段 ， 
而 正确 的 DHCP 服务 器 位 于 其 他 网 段 , 所 以 一 般 情 况 下 非法 DHCP 服务 器 优先 发 送 
DHCPOFFER 响应 给 DHCP 客户 端 ,而 后 到 的 正确 的 DHCP 服务 器 的 DHCPOFFER 响 
应 DHCP 客户 端 并 不 采用 。 这 样 ,DHCP 客户 端 将 从 非法 DHCP 服务 器 处 获得 不 正确 的 
IP 地 址 、 网 关 和 DNS 等 配置 参数 。 
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图 5-14 非法 DHCP 服务 器 的 工作 原理 


5.3.3 实验 操作 2 非法 DHCP 服务 的 防范 


非法 DHCP 服务 存在 大 量 的 安全 隐患 ,如 果 将 非法 DHCP 服务 器 与 一 些 攻击 程序 结 
合 使 用 , 则 可 以 很 方便 地 获得 网 络 中 用 户 的 有 用 信息 ,如 操作 系统 的 用 户 账户 和 密码 等 。 本 
节 将 结合 应 用 实际 ,介绍 几 种 防范 非法 DHCP 服务 的 有 效 方法 。 

1. 使 用 DHCP Snooping 信任 端口 

DHCP Snooping 能 够 过 滤 来 自 网 络 中 非法 DHCP 服务 器 或 其 他 设备 的 非 信 任 DHCP 
响应 报 文 。 在 交换 机 上 , 当 某 一 端口 设置 为 非 信任 端口 时 ,可 以 限制 客户 端 特定 的 IP 地 址 、 
MAC 地 址 或 VLAN ID 等 报 文通 过 。 为 此 ,可 以 使 用 DHCP Snooping 特性 中 的 可 信任 端 
口 来 防止 用 户 私 置 DHCP 服务 器 或 DHCP 代理 。 一 旦 将 交换 机 的 某 一 端口 设置 为 指向 正 
确 DHCP 服务 器 的 接 入 端口 , 则 交换 机 会 自动 丢失 从 其 他 端口 上 接收 到 的 DHCP 响应 报 
文 ,如 图 5-15 所 示 。 
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应 报 文 将 允许 通过 , 客户 
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非法 DHCP 服 务 器 DHCP 客 户 端 DHCP 客 户 端 
图 5-15 DHCP Snooping 的 工作 原理 


在 配置 时 ,可 将 交换 机 上 与 DHCP 服务 器 连接 的 端口 设置 为 DHCP Snooping 的 信任 
端口 ,其 他 端口 默认 情况 下 都 为 非 信任 端口 。 在 图 5-15 所 示 的 网 络 中 ,DHCP 客户 端 发 出 
DHCPDISCOVER 请 求 报 文 , 由 于 非 信任 端口 并 不 限制 该 请 求 报 文 ,所 以 非法 DHCP 服务 
器 也 会 接收 到 该 请 求 并 发 送 DHCPOFFER 响应 报 文 。 但 是 , 非 信任 端口 会 阻 断 
DHCPOFFER 响应 报 文 的 通过 ,所 以 DHCP 客户 端 只 能 接收 到 正确 的 DHCP 服务 器 的 响 
应 ,避免 了 非法 DHCP 服务 器 提供 IP 地 址 等 信息 给 客户 端 。 

下 面 介 绍 在 Cisco 交换 机 上 DHCP Snooping 特性 的 实现 方法 。 现 在 ,假设 要 将 交换 机 
的 第 一 个 端口 fastethernet0/1 设置 为 信任 端口 ,DHCP 服务 器 将 连接 在 该 端口 上 。 具 体 配 
置 方法 如 下 。 
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Switch #conf t (进入 配置 模式 ) 

Switch(config) # interface fastethernet0/1 (选择 fastethernet0/1 端口 .进入 该 端口 配置 状态 ) 
Switch(config-if) # ip dhcp snooping trust (将 该 端口 设置 为 受信 任 端口 ) 

Switch(config-if) # ip dhcp snooping limit rate 500 (设置 每 秒 钟 最 多 处 理 500 个 DHCP 报 文 ) 
Switch(config-if) # end 

Switch #wr 

Switch # sh ip dhcp snooping (显示 交换 机 上 DHCP Snooping 的 配置 情况 ) 


2. 在 DHCP 服务 器 上 进行 IP 与 MAC 地 址 的 绑 定 

在 通过 DHCP 服务 器 进行 客户 端 IP 地 址 等 参数 分 配 的 网 络 中 ,对 于 一 些 重要 部 门 的 
用 户 , 可 以 通过 在 DHCP 服务 器 上 绑 定 IP 与 MAC 地 址 ,实现 对 指定 计算 机 IP 地 址 的 安全 
分 配 。 下 面 以 Windows Server 2003 操作 系统 集成 的 DHCP 服务 为 例 ,介绍 实现 方法 。 

(1) 确保 DHCP 服务 器 的 运行 正常 。 如 果 读 者 的 计算 机 上 还 没有 安装 DHCP 服务 器 ， 
可 通过 选择 “开始 ”>“ 设 置 ”>“ 控 制 面板 ”>“ 添 加 或 删除 程序 ”>“ 添 加 /删除 Windows 组 
件 ” 一 “网 络 服务 ”>“ 详 细 信 息 ” 一 “动态 主机 配置 协议 (DHCP)" 来 安装 。 安 装 好 DHCP 组 
件 后 ,还 要 通过 “新 建 作用 域 ” 指 定 为 客户 端 分 配 的 IP 地 址 段 、 网 关 和 DNS 等 信息 。 

(2) 选择 “开始 ”一 “程序 ”>“ 管 理工 具 ”>DHCP, 打 开 DHCP 窗口 。 

(3) 选取 “作用 域 "*>“ 保 留 ”, 单 击 鼠 标 右键 ,在 弹出 的 快捷 菜单 中 选择 “新 建 保 留 ”" 命 
令 , 打 开 如 图 5-16 所 示 的 “新 建 保留 ”对 话 司 于 
框 。 在 “保留 名 称 ” 文 本 框 中 输入 客户 端 用 为 保留 客户 端 给 入 信息 。 
户 的 名 称 ,在 “IP 地 址 ”文本 框 中 输入 该 作用 Rs: a 
域 中 一 个 未 分 配 的 IP 地 址 ,在 “MAC 地 址 ” 王 地 址 加): [1 2.250 
文本 框 中 输入 指定 客户 端 计算 机 的 MAC 地 MC 地 址 中 0 ss 
址 ,在 “支持 的 类 型 "选项 区 域 中 选择 “两 者 ” 二 


或 “ 仅 DHCP" 单 选 按钮 
(4) 单 击 * 添 加 "按钮 ,完成 对 该 客户 端 到 ai N 
IP 地 址 与 MAC 地 址 的 绑 定 操作 。 A 


采用 相同 的 方法 ,完成 对 其 他 DHCP 客 
户 端 IP 地 址 与 MAC 地 址 的 绑 定 操作 ,最 后 
如 图 5-17 所 示 。 


文件 外 操作) 查看 WW) 帮助 
寻 小 | 用 | 加 | 类 办 固 民 | 久 | 史 
DHCP 


日 [oo] serverl. wldhj. com [172.16.2.10] 
日- 国 作用 域 [172.16.2.0] DCF 客户 


172.16.2.1 
172.16. 33.114 


server 


本 上 [172. 16.2.250] 财务 处 1 

国 [172. 18.2.249] 办 公 室 1 

全 [172.16.2.248] 办 公 室 2 

贸 [1l72.16.2.251] 财务 处 2 
合作 用 域 选项 

- 国 服务 器 选项 


图 5-17 显示 已 创建 的 客户 端 人 与 MAC 地 址 的 绑 定 关系 


加 强 对 网 络 中 DHCP 服务 器 的 安全 管理 ,可 以 防止 出 现 DHCP 攻击 或 欺骗 。 针 对 网 
络 中 所 使 用 的 交换 机 等 设备 和 DHCP 服务 器 软件 的 不 同 , 所 采取 的 安全 技术 和 策略 也 不 尽 
相同 。 读 者 可 通过 参阅 相关 设备 和 软件 的 技术 文档 ,加 强 对 DHCP 服务 的 管理 。 


5.4 TCP 安 全 


UDP 和 TCP 是 TCP/IP 参考 模型 传输 层 的 两 个 通信 协议 。 其 中 ,UDP 是 一 种 不 可 靠 
的 ,面向 非 连 接 的 通信 协议 ,而 TCP 是 一 种 可 靠 的 、 面 向 连接 的 通信 协议 。 将 通过 UDP 协 
议 传输 的 数据 单位 称 为 数据 报 , 而 将 通过 TCP 协议 传输 的 数据 单位 称 为 报 文 段 。 由 于 两 种 
协议 的 功能 不 同 ,所 以 传输 层 UDP 的 首部 格式 非常 简单 ,而 TCP 的 首部 格式 非常 复杂 。 与 
UDP 不 同 的 是 ,TCP 是 为 可 靠 的 通信 过 程 而 开发 的 协议 ,但 在 实际 应 用 中 却 出 现 了 针对 
TCP 协议 漏洞 的 不 安全 因素 ,甚至 是 网 络 攻击 。 


5.4.1 TCP 概述 


TCP 协议 涉及 到 TCP 报 文 段 的 结构 .TCP 连接 的 建立 与 终止 .TCP 数据 的 传输 ,流量 
控制 .差错 控制 和 数据 重 传 等 内 容 。 由 于 本 章 主 要 讨论 的 是 协议 的 安全 问题 ,所 以 在 这 里 仅 
关注 TCP 面向 连接 的 传输 所 需要 的 三 个 阶段 : 连接 建立 ,数据 传输 和 连接 终止 ,对 其 工作 
过 程 进 行 介绍 ,并 发 现存 在 的 安全 问题 。 

1. 连接 建立 

TCP 是 面向 连接 的 。 在 面向 连接 的 环境 中 ,开始 传输 数据 之 前 ,在 两 个 终端 之 间 必 须 
先 建立 一 个 连接 。 建 立 连 接 的 过 程 可 以 确保 通信 双方 在 发 送 用 户 数据 之 前 已 经 准备 好 了 传 
送 和 接收 数据 。 对 于 一 个 要 建立 的 连接 ,通信 双方 必须 用 彼此 的 初始 化 序列 号 SEQ 和 来 自 
对 方 成 功 传输 确认 的 确认 序号 ACK 同步 (ACK 号 指明 希望 收 到 的 下 一 个 字 节 的 编号 ) 。 
习惯 上 将 同步 信号 写 为 SYN ,应 答 信 号 写 为 ACK。 整 个 同步 的 过 程 称 为 三 次 握手 ,图 5-18 
说 明了 这 个 过 程 ,具体 如 下 。 
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图 5-18 TCP 连接 建立 时 的 三 次 握手 


(1) 主机 A 发 送 SYN 给 主机 B: 我 的 初始 化 序列 号 seq 是 X。 主 机 A 通过 向 主机 B 
发 送 SYS 报 文 段 ,实现 从 主机 A 到 主机 B 的 序列 号 的 同步 , 即 确定 seq 中 的 X。 

(2) 主机 B 发 送 SYN、ACK 给 主机 A: 我 的 初始 化 序列 号 seq 是 Y( 如 果 主 机 B 同意 
与 主机 A 建立 连接 时 ) ,确认 序号 ack 是 义 十 1( 等 待 接收 第 X 十 1 号 字 节 的 数据 流 )。 主 机 B 
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向 主机 A 发 送 SYN 报 文 段 的 目的 是 实现 从 主机 B 到 主机 A 的 序列 号 的 同步 , 即 确定 seq 
中 的 Y。 主 机 B 向 主机 A 发 送 确认 信息 ack 二 X 十 1, 这 是 因为 在 TCP 连接 过 程 中 ,把 正确 
接收 到 的 最 后 一 个 序列 号 再 加 1 的 和 ,作为 现在 的 确认 号 。 

(3) 主机 A 发 送 ACK 给 主机 B: 我 的 确认 序号 ack 是 Y 十 1。 

通过 以 上 三 个 步骤 (三 次 握手 ) ,TCP 连接 建立 ,开始 传输 数据 。 

2. 数据 传输 

在 连接 建立 后 ,TCP 将 以 全 双 工 方式 传送 数据 ,在 同一 时 间 主 机 A 与 主机 B 之 间 可 以 
同时 进行 TCP 报 文 段 的 传输 ,并 对 接收 到 的 TCP 报 文 段 进行 确认 。 如 图 5-19 所 示 , 当 通 
过 三 次 握手 建立 了 主机 A 与 主机 B 之 间 的 TCP 连接 后 ,现在 假设 主机 A 要 向 主机 B 发 送 
1800 字 节 的 数据 ,主机 B 要 向 主机 A 发 送 1500 字 节 的 数据 。 


图 5-19 TCP 报 文 段 的 传输 过 程 


在 TCP 报 文 段 的 首部 信息 中 有 一 个 序号 字段 和 一 个 确认 序号 字段 ,在 数据 传输 过 程 中 
要 用 到 这 两 个 字段 的 功能 特性 。TCP 把 一 个 连接 中 发 送 的 所 有 数据 都 要 按 字 节 进行 编号 ， 
而 且 在 两 个 方向 上 的 编号 是 互 不 影响 的 。 当 主机 要 发 送 数 据 时 ,TCP 从 应 用 进程 中 接收 数 
据 , 并 将 其 存储 在 发 送 缓存 中 ,然后 按 字 节 进 行 编号 ,这 也 是 为 什么 将 TCP 报 文 称 为 字 节 流 
的 原因 。 编 号 并 不 一 定 从 0 开始 ,而 是 在 0 一 (2 一 1) 之 间 取 一 个 随机 数 作为 第 一 个 字 节 的 
编号 。 例 如 ,在 本 例 中 主机 A 正好 取 了 8001 作为 第 一 个 字 节 的 编号 ,由 于 数据 总 长 度 为 
1800, 所 以 字 节 的 编号 从 8001 一 9801。 同 理 , 主 机 B 的 字 节 编号 假设 为 16001 一 17500。 

当 对 字 节 进行 了 编号 后 ,TCP 就 给 每 一 个 报 文 段 分 配 一 个 序号 ,该 序号 即 这 个 报 文 段 
中 的 第 一 个 字 节 的 编号 。 在 本 例 中 ,主机 A 发 送 的 数据 被 分 成 两 个 报 文 段 (每 1000 字 节 为 
一 段 ) ,由 于 第 一 个 字 节 的 编号 为 8001, 所 以 第 一 个 报 文 段 的 序号 seq 二 8001。 第 二 个 报 文 
段 只 有 800 字 节 ,第 二 个 报 文 段 中 的 第 一 个 字 节 的 编号 为 9001, 所 以 第 二 个 报 文 段 的 序号 
seq 一 9001。 主 机 B 正 好 以 1500 字 节 为 一 个 报 文 段 ,所 以 主机 B 发 送 给 主机 A 的 数据 正好 
存放 在 一 个 报 文 段 中 ,该 报 文 段 的 序号 seq 二 16001。 


每 一 个 报 文 段 可 以 选择 不 同 的 路 径 在 网 络 中 进行 传输 ,在 接收 端 需要 对 接收 到 的 报 文 
段 进行 确认 。 前 文 已 经 提 到 ,在 TCP 中 确认 序号 被 定义 为 下 一 个 希望 接收 到 的 字 节 的 编 
号 ,所 以 在 本 例 中 当主 机 B 成 功 接收 到 主机 A 发 送 过 来 的 第 二 个 报 文 段 时 ,由 于 该 报 文 段 
中 的 字 节 编号 为 9001 一 9800, 所 以 主机 B 发 送 给 主机 A 的 确认 序号 ack 王 9801 。 

另外 ,在 本 例 中 还 有 三 个 问题 需要 进行 说 明 。 一 是 确认 信息 由 发 送信 息 同 时 撒 带 。 每 
一 个 报 文 段 中 的 ack 序号 就 是 对 已 成 功 接收 到 的 报 文 段 的 确认 ; 二 是 为 了 提高 TCP 的 传 
输 效 率 ,主机 并 不 会 对 接收 到 的 每 一 个 报 文 段 报 送 确认 信息 ,而 是 当 同 时 接收 到 多 个 报 文 段 
后 再 发 送 确认 信息 ,所 以 在 本 例 中 主机 B 只 对 主机 A 发 送 了 一 个 确认 信息 ; 三 是 主机 A 在 
最 后 一 次 只 发 送 了 一 个 Ack 王 17501 的 确认 信息 ,表示 已 成 功 接收 到 了 主机 B 发 送 过 来 的 
报 文 段 。 这 是 因为 主机 A 在 本 次 TCP 连接 中 已 经 没有 数据 再 进行 发 送 。 

3. 连接 终止 

对 于 一 个 已 经 建立 的 连接 ,TCP 使 用 改进 的 三 次 握手 来 释放 连接 (使 用 一 个 带 有 FIN 
附加 标记 的 报 文 段 , 即 在 TCP 报 文 段 首部 中 将 FIN 字段 的 值 置 为 1) 。TCP 关闭 连接 的 步 


又 如 图 5-20 所 示 。 
电 一 一 
三 让 [ 晤 | 


应 用 程序 关闭 连接 一 ve a 
EA 上 机 B ”对 方 要 求 关闭 连接 
FIN:seq=X 1 
应用 程序 关闭 连接 一 


ACK:ack=X+l 1 
CE il 


.ack=X+1 
| FIN:seq=Y,ACK:ae | 
1 
| ACK:ack=Y+] 3 


时 间 时 间 
图 5-20 TCP 使 用 改进 的 三 次 握手 来 释放 连接 


(1) 当主 机 A 的 应 用 程序 通知 TCP 数据 已 经 发 送 完 毕 时 ,TCP 向 主机 B 发 送 一 个 带 
有 FIN 附加 标记 的 报 文 段 (FIN 表示 英文 finish) 。 

(2) 主机 B 收 到 这 个 FIN 报 文 段 之 后 ,并 不 立即 用 FIN 报 文 段 回复 主机 A ,而 是 先 向 
主机 A 发 送 一 个 确认 序号 ACK ,同时 通知 自己 相应 的 应 用 程序 : 对 方 要 求 关闭 连接 ( 先 发 
送 ACK 的 目的 是 为 了 防止 在 这 段 时 间 内 ,对 方 重 传 FIN 报 文 段 ) 。 

(3) 主机 B 的 应 用 程序 告诉 TCP: 我 要 彻底 的 关闭 连接 ,TCP 向 主机 A 发 送 一 个 FIN 
报 文 段 。 

(4) 主机 A 收 到 这 个 FIN 报 文 段 后 ,向 主机 B 发 送 一 个 ACK 报 文 段 , 表 示 连 接 彻底 
释放 。 


5.4.2 TCP 的 安全 问题 


在 TCP/IP 网 络 中 ,如 果 两 台 主机 之 间 要 实现 可 靠 的 数据 传输 ,首先 要 通过 三 次 握手 方 
式 建立 主机 之 间 的 TCP 连接 。 但 在 TCP 连接 过 程 中 很 容易 出 现 一 个 严重 的 安全 问题 ， 
TCP SYN 泛 洪 攻击 。 


TCP/IP 体系 的 妙 议 颁 会 


击 吕 恰 
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按照 TCP 连接 建立 时 三 次 握手 的 协议 约定 , 当 源 主机 A 要 建立 与 目的 主机 B 之 间 的 
TCP 连接 时 , 源 主机 A 首先 发 送 一 个 用 于 同步 的 SYN 报 文 段 (第 一 次 握手 )。 当 目的 主机 
B 接收 到 这 个 报 文 段 时 ,在 正常 情况 下 目的 主机 会 打开 连接 端口 ,并 给 源 主机 A 返回 一 个 
SYN 十 ACK 的 报 文 段 (第 二 次 握手 )。 同 时 ,目的 主机 B 将 这 个 处 于 “ 半 开 放 状 态 ” 的 连接 
放 在 等 待 队列 中 ,等 待 源 主机 A 的 ACK 确认 报 文 段 ( 即 等 待 第 三 次 握手 的 实现 )。 这 有 段 和 
待 时 间 一 般 为 75s 一 25min 。 

TCP SYN 泛 洪 攻击 的 工作 过 程 如 图 5-21 所 示 。 如 果 在 每 一 次 握手 过 程 中 , 源 主机 A 
发 送 给 目的 主机 B 的 SYN 报 文 段 中 的 IP 地 址 是 伪造 的 ,同时 源 主机 A 同时 向 目的 主机 B 
发 送 大 量 的 SYN 报 文 段 。 这 时 ,对 于 目的 主机 B 来 说 会 正常 接收 这 些 SYN 报 文 段 ,并 发 
送 SYN 十 ACK 确认 报 文 段 。 由 于 目的 主机 B 接收 到 的 SYN 报 文 段 中 的 IP 地 址 都 是 伪造 
的 ,所 以 发 送出 去 的 SYN 十 ACK 确认 报 文 段 全 部 得 不 到 回复 。 在 目的 主机 B 的 队列 中 存 
在 大 量 的 “ 半 开 放 状 态 ” 的 连接 ,最 终 将 队列 的 存储 空间 填 满 , 并 因 资 源 耗 尽 而 瘫痪 。 


服务 器 
SYN:seq=A (目的 主机 B) 


To 
攻击 主机 一 一 一 一 SYN:seq=B 


( 源 主机 A) 
9—SYN:seq-Z ACK:ack=A+1 一 1 
六 3?-SYNseqrY ACKcaccB' | 

ee SYN:seq=C | 

SYN:seq=D 


1 
1 
1 k=C+l 一 一 
1 


1 ACK:ac | 
1 9 一 一 SYN:seq=W ACK:ack=D+1 下 
时 间 


图 5-21 TCP SYN 泛 洪 攻击 的 工作 过 程 


这 种 TCP SYN 泛 洪 攻击 属于 一 种 典型 的 拒绝 服务 攻击 (DoS 攻击 ), 即 攻击 者 使 用 大 
量 的 服务 请 求 耗 尽 了 服务 器 的 资源 ,使 服务 器 无 法 处 理 正常 的 服务 请 求 , 最 终 造成 系统 的 
瘫痪 。 


S.4.3 实验 操作 3 操作 系统 中 TCP SYN 泛 洪 的 防范 


可 以 在 Windows 注册 表 内 配置 TCP/IP 参数 ,以 便 保护 服务 器 免 遭 网 络 级 别 的 TCP 
SYN 泛 洪 攻击 。 下 面 以 Windows 2000/2003 为 例 进行 介绍 。 

1. 启用 TCP SYN 攻击 保护 

启用 TCP SYN 泛 洪 攻击 保护 的 命名 值 ,位 于 注册 表 项 : HKEY_LOCAL_MACHINE 
\SYSTEM\CurrentControlSet\Services 的 下 面 。 

值 名 称 : SynAttackProtect 

建议 值 : 2 

有 效 值 : 0 一 2 

说 明 : 使 TCP 调整 SYN 十 ACK 的 重 传 。 配 置 此 值 后 ,在 遇 到 TCP SYN 攻击 时 ,对 连 


接 超时 的 响应 将 更 快速 。 在 超过 TcpMaxHalfOpen 或 TcpMaxHalfOpenRetried 的 值 后 ， 
将 触发 SYN 攻击 保护 。 

2. 设置 TCP SYN 保护 闵 值 
下 列 值 确定 触发 SYN 保护 的 阔 值 。 这 一 部 分 中 的 所 有 注册 表 项 和 值 都 位 于 注册 表 项 
HKEY_LOCAL _MACHINE\SYSTEM\CurrentControlSet\Services 下 。 这 些 注册 表 项 和 
值 如 下 。 
值 名 称 : TcpMaxPortsExhausted 

建议 的 数值 数据 : 5 

有 效 值 : 0 一 65535 

说 明 : 指定 触发 TCP SYN 泛 洪 攻击 保护 所 必须 超过 的 TCP 连接 请 求 数 的 阔 值 。 

值 名 称 : TcpMaxHalfOpen 

建议 的 数值 数据 500 

有 效 值 : 100 一 65535 

说 明 : 在 启用 SynAttackProtect 后 ,该 值 指定 处 于 SYN_RCVD 状态 的 TCP 连接 数 的 
阅 值 。 在 超过 SynAttackProtect 后 ,将 触发 TCP SYN 泛 洪 攻击 保护 。 

值 名 称 : TcpMaxHalfOpenRetried 

建议 的 数值 数据 : 400 

有 效 值 : 80 一 65535 

说 明 : 在 启用 SynAttackProtect 后 ,该 值 指定 处 于 至 少 已 发 送 一 次 重 传 的 SYN_RCVD 
状态 中 的 TCP 连接 数 的 阅 值 。 在 超过 SynAttackProtect 后 ,将 触发 TCP SYN 泛 洪 攻击 
保护 。 

3. 设置 其 他 保护 

这 一 部 分 中 的 所 有 注册 表 项 和 值 都 位 于 注册 表 项 HKEY _LOCAL_MACHINE\ 
SYSTEM\CurrentControlSet\Services 下 。 这 些 注册 表 项 和 值 如 下 。 

值 名 称 : TcpMaxConnectResponseRetransmissions 

建议 的 数值 数据 : 2 

有 效 值 : 0 一 255 

说 明 : 控制 在 响应 一 次 SYN 请 求 之 后 ,在 取消 重 传 尝 试 之 前 SYN 二 ACK 的 重 传 次 数 。 

值 名 称 : TcpMaxDataRetransmissions 

建议 的 数值 数据 : 2 

有 效 值 : 0 一 65535 

说 明 : 指定 在 终止 连接 之 前 TCP 重 传 一 个 数据 段 ( 不 是 连接 请 求 段 ) 的 次 数 。 

值 名 称 : EnablePMTUDiscovery 

建议 的 数值 数据 : 0 

有 效 值 : 0,1 

说 明 : 将 该 值 设 置 为 1( 默 认 值 ) 可 强制 TCP 查找 在 通 向 远程 主机 的 路 径 上 的 最 大 传输 
单元 或 最 大 数据 包 大 小 。 攻 击 者 可 能 将 数据 包 强 制 分 段 , 这 会 使 堆栈 不 堪 重 负 。 对 于 不 是 
来 自 本 地 子 网 的 主机 的 连接 ,将 该 值 指定 为 0 可 将 最 大 传输 单元 强制 设 为 576 字 节 。 

值 名 称 : KeepAliveTime 
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建议 的 数值 数据 : 300000 

有 效 值 : 80 一 4294967295 

说 明 : 指定 TCP 尝试 通过 发 送 持续 存活 的 数据 包 ,来 验证 空闲 连接 是 否 仍然 未 被 触动 
的 频率 。 

值 名 称 : NoNameReleaseOnDemand 

建议 的 数值 数据 : 1 

有 效 值 : 0,1 

说 明 : 指定 计算 机 在 收 到 名 称 发 布 请 求 时 是 否 发 布 其 NetBIOS 名 称 。 

使 用 表 5-1 中 汇总 的 值 可 获得 最 大 程度 的 保护 。 


表 5-1 建议 值 
值 名 称 值 (REG_DWORD) 

SynAttackProtect 2 
TcpMaxPortsExhausted 1 
TcpMaxHalfOpen 500 
TcpMaxHalfOpenRetried 400 
TcpMaxConnectResponseRetransmissions 2 
TcpMaxDataRetransmissions 2 
EnablePMTUDiscovery 0 
KeepAliveTime 300000(5 分 钟 ) 
NoNameReleaseOnDemand 1 


S.4.4 ”实验 操作 4 TCP 端口 的 查看 与 限制 
本 实验 的 内 容 对 于 一 些 专用 服务 器 非常 有 效 。 例 如 ,对 于 Web 服务 器 ,可 以 只 开放 
TCP 80 端口 ; 对 于 FTP 服务 器 ,可 以 只 开放 TCP 21 端口 等 。 常 见 端口 的 使 用 情况 如 
表 5-2 所 示 。 
表 5-2 常用 端口 号 的 使 用 情况 


ei Ys 端口 号 

常用 的 应 用 层 协 议 或 应 用 程序 UDP TCP 
FTP 21 
TELNET 23 
SMTP 25 
DNS 53 
TFTP 69 
SNMP 161 
HTTP 80 
DHCP 67 
RPC( 远 程 过 程 调用 ) 135 


1 Windows 操作 系统 已 开放 端口 的 查看 方法 
Windows 操作 系统 提供 了 netstat 命令 来 显示 当前 TCP/IP 网 络 的 连 # 
法 如 下 所 示 ( 以 Windows Server 2003 为 例 ) 。 


才情 况 。 具 体 方 


选择 “开始 ”> “程序 ”>“ 附 件 ” 一 “命令 提示 符 ”, 进 入 “命令 提示 符 ” 窗 


netstat-na, 按 Enter 键 后 将 显示 如 图 5-22 所 示 的 信息 。 


CGC: \Docunents and Settings \Adninistratormnetstat -na 
Active Connections 


Proto Local fddress i Address State 

TCP .9.0.0: .0.9.8: LISTENING 
TCP 。 ,| -0.8.. LISTENING 
TCP -8.8- .98.8. LISTENING 
TCP -9-B- -9-B- LISTENING 
TCP 0-0-1: -9.8- LISTENING 
TCP 72-16.1-182: LISTENING 
TCP -16-1- 287.46.8.97:1863 ESTABLISHED 
TCP 区 省 衣 66.182.7.147:88 ESTABLISHED 
TCP 216-239.57.99:89 ESTABLISHED 
TCP 216 .99: ESTABLISHED 
TCP 172. TIME_WAIT 
TCP 172. : TIME_WAIT 
TCP 16.1. 172.16.1.121: TIME_WAIT 
TCP -16.1. 172.16.1. 3 TIME_WAIT 
TCP 16.1. 172.16.1. : TIME_WAIT 
TCP 16.1. 172.16.1. : TIME_WAIT 
TCP 16.1. 172.16.1. : TIME_WAIT 
TCP 16.1. 172.16.1. : TIME_WAIT 
TCP 72.16.1. 172.16.1.128: TIME_WAIT 
TCP 72.16.1. 172.16.1. : TIME_WAIT 
TCP 16.1. 172.16.1.18: TIME_WAIT 
TCP -16.1. 172.16.1.18: TIME_WAIT 
TCP .16.1- 172.16.1.18: TIME_WAIT 
TCP .16.1- 172.16.1.97: TIME_WAIT 
TCP -16.1. 172.16.1.97: TIME_WAIT 
TCP .16.1- 172.16.1.97: TIME_WAIT 
UDP -0.8.0: 四 

UDP .9.8.B: nn 

UDP 上 

UDP 村 8:1641 9 


o 输入 命 仿 


图 5-22 利用 netstat-na 命令 显示 当前 打开 的 端口 


。 Active Connections。 是 指 当前 本 机 的 活动 连接 
。 Proto。 是 指 连接 使 用 的 协议 名 称 ,为 TCP 或 UDP。 


。 Local Address。 下 面 显 示 了 本 机 IP 地 址 和 打开 的 端口 号 ,如 172. 16. 1. 102:139 ,其 


中 172. 16. 1. 102 为 本 机 的 IP 地 址 ,139 为 打开 的 一 个 TCP 端口 。 


。 Foreign Address。 


。 State。 表 明 当 前 TCP 的 连接 状态 。 其 中 ,LISTENING 是 监听 状态 ， 
对 打开 的 端口 进行 监听 ,等 待 远程 计算 机 的 连接 


是 连接 该 端口 的 远程 计算 机 的 IP 地 址 和 端口 号 。 


表明 本 机 正在 


ESTABLISHED 表示 已 建立 的 连 


接 , 说 明 两 台 主机 之 间 正 在 通过 TCP 协议 进行 通信 ; TIME_WAIT 的 意思 是 结 ， 


了 这 次 连接 ,说 明 该 端口 曾经 有 过 访问 ,但 访问 结束 了 。 需 要 注 
不 需要 进行 监听 。 


通过 以 上 分 析 , 凡 是 State 显示 为 LISTENING 的 端口 都 是 比较 危险 的 ， 


毒 或 黑客 所 利用 ,作为 人 侵 系统 的 端 


的 是 ,UDP 端 


如 果 在 DOS 窗口 中 输入 了 netstat-nab 命令 ,还 将 显示 每 个 连接 都 是 


和 


的 ,如 图 5-23 所 示 。 
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C:\Documents and Settings \Adninistratormnetstat -nab 
ctive Connections 


Proto Local fddress Foreign hddress State 
8.8.8.80:135 8.8.8.8:0 LISTENING 


[svchost .exe] 


TCP 日 -B-B-B:445 -8.8.8: LISTENING 
[System] 


LISTENING 


LISTENING 


[Rtvscan.exe] 


TCP ~ 127.8.8.1:1828 .98.9.0: LISTENING 
[ccApp.exe] 


TCP 172.16.1.182:139 .0.9.0: LISTENING 
[System] 


TCP 172.16.1. 3 287.46.8.97:1863 ESTABLISHED 
[MsnMsgr .Exe] 


TCP 172.16.1. 2: -16-1-92:139 TIME_WAIT 
TCP 172.16.1. : -16-1-97: TIME_WAIT 
TCP 172.16.1. : -16.1. 3 TIME_WAIT 
TCP 172.16.1. 日 局 3 TIME_WAIT 

TIME_WAIT 


图 5-23 利用 netstat-nab 命令 显示 哪些 应 用 程序 在 使 用 当前 打开 的 端口 


从 图 5-23 可 以 看 出 ,本 机 的 135 端口 监听 就 是 由 svchost. exe 程序 创建 的 。 利 用 a 
令 ,如果 用 户 发 现 本 机 打开 了 可 疑 的 端口 ,就 可 以 查看 它 调 用 了 哪些 应 用 程序 ,然后 再 检查 
各 应 用 程序 的 创建 时 间 和 修改 时 间 , 如 果 发 现 异常 ,就 可 能 是 中 了 木马 病毒 。 

男 外 ,也 可 以 使 用 一 些 专 门 的 端口 监视 软件 来 查看 本 机 打开 了 哪些 端口 。 这 类 软件 非 
常 a 如 Tcpview、Port Reporter、 绿 应 PC 万 能 精灵 和 网 络 端口 查看 器 等 。 图 5-24 所 示 的 

是 Tcpview 的 操作 界面 ,该 软件 会 密切 监视 本 机 端口 连接 情况 ,这 样 就 能 严防 非法 连接 , 确 
保 网 络 安全 。 

该 软件 不 但 可 以 wo 看 端口 号 ,而且 还 能 当前 该 端口 对 应 的 应 用 程序 。 
例如 ,一 些 单位 不 允许 职工 在 上 班期 间 使 用 QQ, 这 时 网 络 管理 员 便 可 以 利用 Tcpview 软件 
来 查 出 当前 QQ 使 UDP 端口 范围 ,然后 在 网 络 出 aa. 

2. 限制 TCP 端口 

端口 是 应 用 层 程序 (进程 ) 与 传输 层 协 议 (TCP 或 UDP) 之 间 的 连接 通道 。 通 过 端口 限 
制 功能 ,可 以 只 允许 计算 机 通过 指定 的 TCP 或 UDP 端口 来 通信 ,其 他 端口 的 通信 功能 将 被 
全 部 关闭 。 下 面 假设 在 一 台 Web 服务 器 上 只 开放 TCP 80 端口 ,只 人 允许 用 户 使 用 系统 默认 
的 TCP 80 端口 访问 服务 器 上 的 HTTP 页 面 ,而 无 法 从 事 其 他 的 网 络 访问 ,以 加 强 对 专用 
Web 服务 器 的 安全 保护 。 以 Windows Server 2003 为 例 , 具 体 设 置 如 下 。 

(1) 在 服务 器 上 打开 网 卡 的 “本 地 连接 属性 ”对 话 框 ,选取 “Internet 协议 (TCP/IP)” 选 
项 , 单 击 “ 属 性 ”按钮 。 

(2) 在 打开 的 对 话 框 中 单 击 “高 级 ”按钮 .并 在 出 现 的 对 话 框 中 选择 “选项 ”选项 卡 ,打开 
如 图 5-25 所 示 的 “高 级 TCP/IP 设置 ”对话 框 。 


TCPVier - Sysinternals: wr sysinternals cou 


le Options Process Yiew lelp 
| 是 A 一 加 
Process_/ Protocol Local Address Remote Address State 
秽 IEXPLORE .EXE:3684 TCP china-osvodvuat:2310 。 u15198598.onlinehome..， ESTABLISHED 
重 IEXPLORE EXE:3684 TCP china-osvodvuat:2311 。 219.239.88.113:http CLOSE_WAIT 
靖 IEXPLORE .EXE:3684 TCP china-osyo4wuat:2313 。 216.239.57.99:http ESTABUSHED 
砚 IEXPLORE .EXE:3684 TCP china-osvodvuat:2315 216.239.57.99:http ESTABLISHED 
加 Isass.exe:1096 TCP china-osvodvuat:1025 。” china-osvyo4vuat0 USTENING 
加 lsass exe:1096 UDP chinaosyo4vuatisakmp ** 
lsass exe:1096 UDP china-osvodvuat:ipsec-... ** 
骗 msnmsgrexe 712 TCP china-osvodvuat:1033 baym2-cs77.messenge... ESTABLISHED 
msnmsgr.exe:712 UDP china-osvodvuat:1046 = ** 
msnmsgr exe:712 UDP china-osvodvuat:1034 “> 
msnmsgr.exe:712 UDP china-osvodvuat:discard 二 * 
唱 msnmsgrexe:712 UDP china-osvodvuat:48952 “* R 
A QQ.exe:1004 UDP china-osvoAvuat:4000 ** 
A aa exe:1004 UDP china-osvo4vuat6000 。 
有 同 QQ.exe:1004 UDP china-osyo4vuat6001 。 ** 
A aa exe'1004 UDP china-osyo4vuat6002 。 = 
A QQ.exe:1004 UDP china-osvod4vuat:6003 = ** 
QQ.exe:1004 UDP china-osvodvuat:6004 = “* 
QQ .exe:1004 UDP china-osvodvuat-6005 = ** 
QQ .exe'1004 UDP china-osvodvuat-6006 = *2* 
A QQ,exe:1004 UDP china-0syo4vuat:6007 ** 
A QQ exe:1004 UDP china-osyo4vuat'6008 “7 
AM QQ exe:1004 UDP china-osvod4vuat:6009 = ** 
A a exe:1004 UDP china-osyo4vuat'6010 = ** 
A aQ exe:1004 UDP china-osvadyuat:1037 a ** 
加 Rtvscan.exe:452 TCP china-osvodvuat:2967 。 china-osvo4yuat'0 USTENING 
加 svchost.exe:1388 TCP China-osvodvuat:epmap china-osyo4yuat0 LISTENING 
回 svchostexe:1480 UDP china-osyo4vuat-1026 = ** 
加 svehost.exe.1480 UDP china-osvodvuat:1042 _** 


图 5-24 Tcpview 软件 的 操作 界面 


(3) 单 击 “ 属 性 ”按钮 ,在 打开 的 如 图 5-26 所 示 的 “TCP/IP 筛选 ”对 话 框 中 选取 “启用 
TCP/IP 筛选 (所 有 适配器 )” 复 选 框 , 同 时 选取 *TCP 端口” 栏 中 的 “只 允许 ” 单 选 按钮 ,并 单 
击 “ 添 加 ”按钮 ,在 出 现 的 对 话 框 中 将 "TCP 端口 "设置 为 80。 


了 
TP 设置 | DNs |wms 过 项 | 
可 选 的 设置 @) 


| 


订 启用 TCF/IP 第 选 所 有 适配器 ) EE) 


个 全 部 允许 中 ) 他 全 部 允许 如 全 部 允许 I[) 
从 只 允许 中 一 一 个 只 允许 如一 一 广 只 允许 四 一 


[reg | | PRO | 


器 


图 5-25 “高 级 TCP/ 了 设置 ?对 话 框 中 的 “选项 "选项 卡 5-26 设置 TCP 或 UDP 端口 


TCP/IP 体系 的 妙 议 安 会 


击 吕 恰 


计算 机 网 络 安 会 投 太 


(4) 单 击 “ 确 定 ” 按 钮 ,进行 确认 。 

读者 可 以 根据 以 上 设置 ,再 结合 实际 应 用 ,通过 配置 TCP 或 UDP 端口 来 对 专业 服务 器 
进行 安全 保护 。 

3. 限制 IP 地址 的 访问 

通过 限制 主机 的 TCP 或 UDP 的 端口 ,可 以 对 一 些 专 业 服 务 器 进行 安全 保护 。 如 果 一 
台 服 务 器 上 提供 了 Web、FTP 和 Mail 等 多 项 服务 ,同一 项 服务 (如 Web) 还 可 能 同时 存在 多 
个 站 点 , 且 不 同 站 点 采取 不 同 的 安全 保护 策略 。 这 时 可 以 利用 IP 地 址 限制 功能 实现 对 某 一 
项 应 用 的 安全 管理 。 不 管 是 TCP 报 文 段 ,还 是 UDP 数据 报 ,在 网 际 层 后 都 要 封装 到 IP 分 
组 中 进行 传输 ,所 以 对 IP 地 址 的 限制 可 同时 适用 于 TCP 和 UDP。 

下 面 以 Windows Server 2003 操作 系统 为 例 ,设置 IIS 中 的 “默认 网 站 ”只 能 由 IP 地 址 
在 172.16.0.0/16 网 段 中 的 主机 来 访问 , 当 使 用 其 他 IP 地 址 的 主机 访问 时 被 拒绝 (读者 也 
可 以 在 IIS 中 先 发 布 一 个 网 站 ,再 对 发 布 的 网 站 进行 配置 )。 具 体 设 置 方法 如 下 (必须 已 安 
装 了 “Internet 信息 服务 (IIS)”) 。 

(1) 选择 “开始 ”一 “程序 ”>“ 管 理工 具 ”>“Internet 信息 服务 ”, 打 开 “Internet 信息 服 
务 (IIS) 管 理 器 ”窗口 。 

(2) 选取 “网 站 ?下 的 “默认 网 站 ”, 单 击 鼠标 右键 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 
在 打开 的 “默认 网 站 属性 ”对 话 框 中 选择 “目录 安全 性 ”选项 卡 ,打开 如 图 5-27 所 示 的 对 话 框 。 


默认 网 站 尾 性 下 对 
Bs | | Tar 器 | 主 上 录 | 女 冰 | 
[ ITTP 头 自 定义 博 
身份 验证 和 沪 问 控制 
访问 汪 有 扣 和 从 直 广 
_ 节 地 址 知名 限制 
FE 
编 加 中 
-安全 通信 
3 要 全 通信 并 局 用 客 。 服务 吕 证 书 G) 
BE 
编 加 中 


确定 | 取消 Ey 帮助 


图 5-27 “默认 网 站 属性 ?对 话 框 中 的 “目录 安全 性 ?选项 卡 


(3) 单 击 “IP 地 址 和 域名 限制 ”选项 区 域 中 的 “编辑 ”按钮 ,打开 如 图 5-28 所 示 的 “IP 地 
址 和 域名 限制 ?对 话 框 。 系 统 默认 设置 为 “授权 访问 ”, 即 允许 所 有 主机 的 访问 。 

(4) 选择 “拒绝 访问 " 单 选 按 钮 .然后 单 击 “ 添 加 ”按钮 .在 打开 的 如 图 5-29 所 示 的 “授权 
访问 ”对 话 框 中 选取 “一 组 计算 机 ” 单 选 按钮 ,并 在 “网 络 标 识 ” 文 本 框 中 输入 允许 访问 该 网 站 
的 计算 机 所 在 的 网 段 IP( 本 例 为 172. 16. 0. 0) ,在 * 子 网 掩 码 ” 文 本 框 中 输入 该 网 段 的 子 网 掩 
码 ( 本 例 为 255. 255. 0. 0) 。 


局 可 
芋 地 址 访问 限制 : * 
默认 情况 下 ， 所 有 计算 机 都 村 被 。 。 gf 人 报税 访 可 夯 ) 
Se ED 个 一 和 计算机 G8) 


六 站 。 | 下 地址 他 同 才 3) EE 
个 域名 四 
标识 四 : 子 网 痢 蚂 四 


取消 帮助 四 


图 5-28 系统 默认 不 进行 IP 地 址 限制 图 5-29 输入 允许 访问 的 网 段 IP 及 子 网 拖 码 


(5) 单 击 “ 确 定 ” 按 钮 ,172. 16. 0. 0/16 地 址 段 将 添加 到 允许 访问 列表 框 中 ,如 图 5-30 
所 示 。 
(6) 单 击 “ 确 定 ” 按 钮 ,完成 设置 。 


Ed| 
节 地 址 访问 限制 
默认 情况 下 ， 所 有 计算 机 都 村 被 。 57 个 授权 访问 8 

图 C 把 缉 访 问 四 


全 172.16.0.0 (255.255.0.0) 


他 接受 


图 5-30 显示 已 设置 的 IP 地 址 段 


这 时 ,在 一 台 能 够 访问 该 Web 服务 器 ,但 IP 地 址 不 在 172. 16. 0.0/16 范围 内 的 计算 机 
上 输入 http://172.16.2.10( 其 中 172. 16. 2. 10 为 Web 服务 器 的 IP 地 址 ) ,将 会 显示 如 
图 5-31 所 示 的 提示 信息 ,说 明 该 计算 机 不 具备 访问 该 Web 网 站 的 权限 。 


弹 你 未 被 授权 查看 该 页 - icroseft In ternet E 
文件 四 编 得 区 ) 查看 W) 收 高 Q 工具 CD) 帮助 0 
四 良 - 司 -站 四 而 | 万 失守 疏 和 交 如 | 个 "所 局 设 


sis yy 


您 未 被 授权 查看 该 页 


您 试图 沪 问 的 “eb 服务 器 上 有 一 个 不 被 允许 访问 该 网 站 的 IF 地 址 列表 ， 并 且 您 用 来 浏览 
的 计算 机 的 IP 地 址 也 在 其 中 。 


Microsoft Internet Explorer 


| 圳 


请 尝试 以 下 操作 : 


e， 如 果 您 认为 自己 应 该 能 蚁 查看 该 目录 或 页 面 ， 请 与 网 站 管理 员 联 系 。 国 


EE 


图 5-31 拒绝 用 户 访问 该 Web 网 站 时 的 提示 信息 


TCP/IP 体系 的 妙 议 安 会 


击 吕 恰 


计算 机 网 络 安 全 技术 


5.5 DNS 安 全 


为 了 解决 主机 IP 地 址 与 主机 名 之 间 的 对 应 关系 , InterNIC (Internet Network 
Information Center,Internet 网 络 信息 中 心 ) 制 定 了 一 套 称 为 域名 系统 (Domain Name 
System,DNS) 的 分 层 名 字 解 析 方案 。 当 DNS 用 户 提出 IP 地 址 查询 请 求 时 ,就 可 以 由 DNS 
服务 器 中 的 数据 库 提供 所 需 的 数据 。 DNS 技术 目前 已 广泛 地 应 用 于 Internet 和 


Intranet 中 。 
5.5.1 DNS 概述 


DNS 是 一 组 协议 和 服务 , 它 允 许 用 户 在 查找 网 络 资源 时 使 用 层次 化 的 对 用 户 友好 的 名 
字 取 代 IP 地 址 。 当 DNS 客户 端 向 DNS 服务 器 发 出 IP 地 址 的 查询 请 求 时 ,DNS 服务 器 可 
以 从 其 数据 库 内 寻找 所 需要 的 IP 地 址 给 DNS 客户 端 。 这 种 由 DNS 服务 器 在 其 数据 库 中 
找 出 客户 端 IP 地 址 的 过 程 叫 做 “主机 名 称 解 析 ”。 

1. DNS 的 功能 及 组 成 

简单 地 讲 ,DNS 协议 最 基本 的 功能 是 对 主机 名 与 对 应 的 IP 地 址 之 间 建 立 映 射 关 系 。 
例如 ,新 浪 网 站 的 一 个 IP 地 址 是 202. 106. 184. 200 ,几乎 所 有 浏览 该 网 站 的 用 户 都 是 使 用 
www. sina. com. cn, 而 并 非 使 用 IP 地 址 来 访问 。 使 用 主机 名 (域名 ) 比 直接 使 用 IP 地 址 具 
有 以 下 两 点 好 处 。 

(1) 主机 名 便于 记忆 ,如 sina. com. cn。 

(2) 数字 形式 的 IP 地 址 可 能 会 由 于 各 种 原因 而 改变 ,而 主机 名 可 以 保持 不 变 。 

DNS 的 工作 任务 是 在 计算 机 主机 名 与 IP 地 址 之 间 进 行 映射 。DNS 位 于 TCP 参考 模 
型 的 最 高 层 ,使 用 TCP 和 UDP 作为 传输 协议 (一 般 多 使 用 UDP, 因为 UDP 的 系统 开销 较 
小 )。DNS 模型 相当 简单 : 客户 端 向 DNS 服务 器 提出 访问 请 求 (如 www. sina. com. cn ) ， 
DNS 服务 器 在 收 到 客户 端的 请 求 后 在 数据 库 中 查找 相对 的 IP 地 址 (202. 106. 184. 200) ,并 
作出 反应 。 如 果 该 DNS 服务 器 无 法 提供 对 应 的 IP 地 址 (如 数据 库 中 没有 该 客户 端 主机 名 
对 应 的 IP 地 址 ) 时 , 它 就 转 给 下 一 个 它 认 为 更 好 的 DNS 服务 器 去 处 理 。 

当 需 要 给 某 人 打 电 话 时 ,你 可 能 知道 这 个 人 的 姓名 ,而 不 知道 他 的 电话 号 码 。 这 时 ,可 
以 通过 查看 电话 号 码 短 查 得 他 的 电话 号 码 , 从 而 与 他 进行 通话 。 由 此 可 以 看 出 ,电话 号 码 短 
的 功能 便 是 建立 姓名 与 电话 号 码 之 间 的 映射 关系 。 而 DNS 的 功能 与 这 里 的 电话 号 码 夭 很 
类 似 。 

DNS 是 为 TCP/IP 网 络 提供 的 一 套 协议 和 服务 ,是 由 名 字 分 布 数据 库 组 成 的 。 它 建立 
了 叫做 域名 空间 的 逻辑 树 结构 ,是 负责 分 配 、 改 写 、 查 询 域 名 的 综合 性 服务 系统 。 该 空间 中 
的 每 个 节点 或 域 都 有 一 个 唯一 的 名 字 。 

组 成 DNS 系统 的 核心 是 DNS 服务 器 , 它 是 回答 域名 服务 查询 的 计算 机 ,人 允许 为 私 
人 TCP/IP 网 络 和 连接 公共 Internet 的 用 户 提 供 并 管理 DNS 服务 ,维护 DNS 名 字数 据 
并 处 理 DNS 客户 端 主机 名 的 查询 。DNS 服务 器 保存 了 包含 主机 名 和 相应 IP 地 址 的 数 
据 库 。 例 如 ,如 果 提 供 了 和 名字 www. sina. com,DNS 服务 器 将 返回 新 浪 网 站 的 IP 地 址 
202. 106. 184. 200 。 


DNS 是 一 种 看 起 来 与 磁盘 文件 系统 的 目录 结构 类 似 的 命名 方案 ,域名 也 通过 使 用 句点 
“. ”分 隔 每 个 分 支 来 标识 一 个 域 在 逻辑 DNS 层次 中 相对 于 其 父 域 的 位 置 。 但 是 , 当 定 位 一 
个 文件 位 置 时 ,是 从 根 目录 到 子 目录 再 到 文件 名 ,如 C:\winnt win. exe; 而 当 定位 一 个 主 
机 名 时 ,是 从 最 终 位 置 到 父 域 再 到 根 域 ,如 sina. com。 
图 5-32 显示 了 顶级 域 的 名 字 空 间 及 下 一 级 子 域 之 间 的 树 型 结构 关系 ,图 中 的 每 一 个 节 
点 及 其 下 的 所 有 节点 叫做 一 个 域 。 域 可 以 有 主机 (计算 机 ) 和 其 他 域 ( 子 域 )。 例 如 ,在 图 5-32 
中 ,pcl. sd. cninfo. net 就 是 一 台 主 机 ,而 sd. cninfo. net 则 是 一 个 子 域 。 一 般 在 子 域 中 含有 
台 主 机 ,例如 ,ah. cninfo. net 子 域 下 就 含有 pcl. ah. cninfo. net 和 pc30. ah. cninfo. net 两 
台 主 机 。 
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图 5-32 ”Internet 的 域名 结构 


根 域 。 代 表 域 名 命名 空间 的 根 ,这 里 为 空 。 
顶级 域 。 直 接 处 于 根 域 下 面 的 域 ,代表 一 种 类 型 的 组 织 和 一 些 国家 。 在 Internet 
中 ,由 InterNIC 进行 管理 和 维护 。 如 在 顶级 域名 中 com 代表 商业 组 织 、edu 代表 教 
育 和 学 术 机 构 等 ,在 域名 的 国家 代码 中 cn 代表 中 国 us 代表 美国 等 。 
二 级 域 。 在 顶级 域 下 面 ,用 来 标明 顶级 域 以 内 的 一 个 特定 的 组 织 。 在 Internet 中 ， 
也 是 由 InterNIC 负责 对 二 级 域名 进行 管理 和 维护 ,以 保证 二 级 域名 的 唯一 性 。 
子 域 。 在 二 级 域 的 下 面 所 创建 的 域 ,一 般 由 各 个 组 织 根据 自己 的 要 求 自行 创建 和 
维护 。 
主机 。 是 域名 命名 空间 中 的 最 下 面 一 层 , 它 被 称 之 为 完全 合格 的 域名 (Fully 
Qualified Domain Name,FQDN ) 。 

2. DNS 的 解析 过 程 

现在 假设 客户 端 Web 浏览 器 要 访问 网 站 www. sina. com, 整个 访问 过 程 如 图 5-33 所 
示 。 具 体 描述 如 下 : 

(1) Web 浏览 器 调用 DNS 客户 端 程序 (该 程序 称 为 “解析 器 ”), 先 在 本 地 的 DNS 缓存 
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图 5-33 ”Internet 上 对 www. sina. com 的 访问 过 程 


中 查询 是 否 有 www. sina. com 的 记录 。 如 果 有 该 记录 (例如 , Web 浏览 器 刚刚 访问 过 
www. sina. com, 缓 存 中 的 记录 系统 还 没有 删除 ) , 则 直接 访问 。 

(2) 如 果 在 本 地 的 缓存 中 没有 找到 相关 的 记录 ,客户 端 就 会 根据 已 设置 的 DNS 服务 器 
记录 ,向 DNS 服务 器 发 出 查询 请 求 。 如 果 该 DNS 服务 器 正好 是 创建 www. sina. com 记录 
的 服务 器 ,或 在 特定 的 时 间 段 内 处 理 过 相同 的 查询 ,那么 它 就 会 从 自己 的 区 域 记 录 或 缓存 中 
检索 到 该 域名 相应 的 资源 记录 (Resource Record,RR) ,并 返回 给 客户 端 。 

(3) 否则 DNS 服务 器 就 将 查询 转发 给 根 域 服 务 器 ,由 根 域 服务 器 找到 com 名 字 服 务 器 
地 址 ,并 发 送 给 DNS 服务 器 。 

(4) DNS 服务 器 向 com 名 字 服 务 器 继续 发 出 查询 www. sina. com 地 址 的 请 求 ,com 名 
字 服 务 器 在 找到 sina. com 的 地 址 后 ,将 结果 发 送 给 DNS 服务 器 。 

(5) DNS 服务 器 向 sina. com 名 字 服 务 器 发 出 查询 www. sina. com 的 请 求 , sina. com 
名 字 服 务 器 检索 到 www. sina. com 对 应 的 IP 地 址 ,并 将 结果 发 送 给 DNS 服务 器 。 

(6) DNS 服务 器 将 www. sina. com 对 应 的 资源 记录 发 送 给 Web 客户 端 , Web 客户 端 
利用 IP 地 址 访问 相应 的 主机 。 

同时 ,在 以 上 的 递归 查询 过 程 中 , Web 客户 端 \DNS 服务 器 及 各 级 的 名 字 服 务 器 都 会 记 
录 这 一 次 查询 结果 ,以便 下 一 次 查询 时 直接 调用 。 


5.5.2 DNS 的 安全 问题 


DNS 服务 是 一 种 最 基础 的 网 络 服务 ,但 是 DNS 在 设计 之 初 并 没有 考虑 安全 问题 ,只 是 
为 了 方便 人 们 使 用 ,简单 地 在 域名 与 IP 地 址 之 间 进 行 了 映射 ,并 将 映射 记录 提供 给 入 们 查 
询 ,DNS 内 部 没有 为 数据 提供 任何 安全 认证 和 数据 完整 性 检查 , 留 下 了 极 大 的 安全 隐患。 
如 果 DNS 服务 器 被 人 侵 者 控制 , 则 有 可 能 纂 改 DNS 服务 器 数据 中 IP 地 址 与 主机 名 之 间 的 
映射 关系 ,从 而 会 使 主机 遭受 各 类 攻击 (如 DoS 攻击 、Web 欺骗 攻击 等 ) ,严重 时 有 可 能 造成 
单位 内 部 网 络 (Intranet) 或 Internet 中 名 称 解析 的 混乱 。 下 面 介 绍 几 种 常见 的 DNS 安全 
威胁 。 


1. 缓存 中 毒 

DNS 为 了 提高 查询 效率 ,采用 了 缓存 机 制 ,把 用 户 查询 过 的 最 新 记录 存放 在 缓存 中 ,并 
设置 生存 周期 (Time To Live,TTL)。 在 记录 没有 超过 TTL 之 前 ,DNS 缓存 中 的 记录 一 旦 
被 客户 端 查询 ,DNS 服务 器 (包括 各 级 名 字 服 务 器 ) 将 把 缓存 区 中 的 记录 直接 返回 给 客户 
端 ,而 不 需要 进行 逐 级 查询 ,提高 了 查询 速率 。 

DNS 缓存 中 毒 利用 了 DNS 缓存 机 制 ,在 DNS 服务 器 的 缓存 中 存 和 人 大量 错 误 的 数据 记 
录 主 动 供用 户 查 询 。 由 于 缓存 中 大 量 错误 的 记录 是 攻击 者 伪造 的 ,而 伪造 者 可 能 会 根据 不 
同 的 意图 伪造 不 同 的 记录 ,例如 将 查询 指向 某 一 个 特定 的 服务 器 ,使 所 有 通过 该 DNS 查询 
的 用 户 都 访问 某 一 个 网 站 的 主页 ; 或 将 所 有 的 邮件 指向 某 一 台 邮 件 服务 器 ,拦截 利用 该 
DNS 进行 解析 的 邮件 等 。 

由 于 DNS 服务 器 之 间 会 进行 记录 的 同步 复制 ,所 以 在 TTL 内 ,缓存 中 毒 的 DNS 服务 
器 有 可 能 将 错误 的 记录 发 送 给 其 他 的 DNS 服务 器 ,导致 更 多 的 DNS 服务 器 中 毒 。 正 如 
DNS 的 发 明 者 Paul Mockapetris 所 说 : 中 毒 的 缓存 就 像 是 “使 人 们 走 错 方向 的 假冒 路 牌 ”。 

2005 年 8 月 , 数 十 万 台 因特网 上 的 DNS 服务 器 遭受 到 DNS 缓存 中 毒 的 攻击 ,攻击 者 
将 存储 在 DNS 服务 器 上 的 流行 网 站 的 IP 地 址 更 换 为 恶意 网 站 的 IP 地 址 ,将 毫 不 知情 的 因 
特 网 用 户 由 合法 的 网 站 引导 到 恶意 网 站 ,并 要 求 用 户 透露 机 密 信息 或 安装 恶意 软件 。 

DNS 数据 库 对 因特网 上 的 用 户 是 完全 开放 的 , 它 既 没有 在 DNS 内 部 对 数据 提供 认证 
机 制 和 完整 性 检查 ,也 没有 对 DNS 服务 器 提供 的 服务 进行 访问 控制 和 限制 。 所 以 攻击 者 可 
以 将 一 些 未 经 验证 的 数据 存 和 到 DNS 服务 器 的 缓存 中 ,同时 当 用 户 在 DNS 服务 器 上 进行 
地 址 查询 时 ,DNS 服务 器 也 不 对 用 户 进 行 任 何 身份 认证 。DNS 的 这 种 工作 机 制造 成 了 大 
量 的 安全 漏洞 ,使 DNS 遭受 到 了 各 种 各 样 的 安全 攻击 。 

2. 拒绝 服务 攻击 

DNS 服务 器 在 因特网 中 的 关键 作用 使 它 很 容易 成 为 攻击 者 进行 攻击 的 目标 ,加 上 DNS 
服务 器 对 大 量 的 攻击 没有 相应 的 防御 能 力 , 所 以 攻击 过 程 很 容易 实现 , 且 造 成 的 后 果 非 常 严 
重 。 现 在 使 用 的 DNS 采用 了 树 形 结构 ,一 旦 DNS 服务 器 不 能 提供 服务 ,其 所 辖 的 子 域 都 将 
无 法 解析 客户 端的 域名 查询 请 求 。 

对 DNS 服务 器 进行 拒绝 服务 攻击 比较 容易 。 目 前 针对 DNS 服务 器 的 拒绝 服务 攻击 主 
要 有 两 种 方式 : 一 种 是 直接 攻击 DNS 服务 器 ,将 DNS 服务 器 作为 被 攻击 对 象 ,由 多 台 攻 击 
主机 向 被 攻击 的 DNS 服务 器 频繁 发 送 大 量 的 DNS 查询 请 求 , 最 终 使 DNS 服务 器 骨 溃 ; 另 
一 种 是 利用 DNS 服务 器 作为 “中 间 人 ”, 去 攻击 网 络 中 的 其 他 主机 。 攻 击 者 可 以 向 多 个 
DNS 服务 器 发 送 大 量 的 查询 请 求 , 这 些 查 询 请 求 数据 包 中 的 源 IP 地 址 为 被 攻击 者 的 IP 地 
址 。DNS 服务 器 将 大 量 的 查询 结果 发 送 给 被 攻击 主机 ,使 被 攻击 主机 无 法 提供 正常 的 服 
务 ,例如 使 DNS 服务 器 无 法 为 用 户 提供 正常 的 查询 等 。 

3. 域名 动 持 

域名 劫持 通常 是 指 通过 采用 非法 手段 获得 某 一 个 域名 管理 员 的 账户 和 密码 ,或 者 域名 
管理 邮箱 ,然后 将 该 域名 的 IP 地 址 指向 其 他 的 主机 (该 主机 的 IP 地 址 有 可 能 不 存在 )。 域 
名 被 劫持 后 ,不 仅 有 关 该 域名 的 记录 会 被 改变 ,甚至 该 域名 的 所 有 权 可 能 会 落 到 其 他 人 的 
手 里 。 

2001 年 3 月 25 日,“ 我 要 ”(51. com) 电 子 商 务 网 站 遭 到 攻击 ,其 域名 删除 达 一 天 之 久 。 
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这 是 我 国 第 一 例 涉嫌 域名 动 持 的 事件 。 就 其 事件 的 整个 过 程 来 说 ,就 是 攻击 者 首先 通过 电 
子 邮件 获得 了 51. com 网 站 的 域名 管理 员 账 户 和 密码 ,然后 删除 正常 的 域名 解析 记录 。 


5.5.3 DNS 安全 扩展 


为 了 弥补 DNS 最 初 设计 时 存在 的 安全 缺陷 ,1994 年 IETF 成 立 了 DNSSEC (DNS 
Security) 工 作 组 ,通过 在 原 有 协议 上 增添 DNSSEC 部 分 ,从 而 从 整体 上 解决 DNS 的 安全 问 
题 。1999 年 3 月 ,IETF 以 RFC 2535 文档 发 布 了 DNSSEC(Domain Name System Security 
Extensions, 域 名 系统 安全 扩展 ) ,提出 了 解决 DNS 安全 问题 的 一 系列 措施 。 

1. DNSSEC 的 基本 原理 

域名 系统 安全 扩展 是 在 原 有 的 域名 系统 上 通过 公 钥 技术 ,对 DNS 中 的 信息 进行 数字 签 
名 ,从 而 提供 DNS 的 安全 认证 和 信息 完整 性 检验 。 具 体 原 理 如 下 。 

发 送 方 : 首先 使 用 Hash 函数 对 要 发 送 的 DNS 信息 进行 计算 ,得 到 固定 长 度 的 “信息 摘 
要 ”; 然后 对 “信息 摘要 ”用 私 钥 进 行 加 密 , 此 过 程 实现 了 对 “信息 摘要 ”的 数字 签名 ; 最 后 
将 要 发 送 的 DNS 信息、 该 DNS 信息 的 “信息 摘要 ”及 该 “信息 摘要 ”的 数字 签名 一 起 发 送 
出 来 。 

接收 方 : 首先 采用 公 钥 系统 中 的 对 应 公 钥 对 接收 到 的 “信息 摘要 ”的 数字 签名 进行 解 
密 , 得 到 解密 后 的 “信息 摘要 ”; 接着 用 与 发 送 方 相同 的 Hash 函数 对 接收 到 的 DNS 信息 进 
行 运算 ,得 到 运算 后 的 “信息 摘要 ”; 最 后 对 解密 后 的 “信息 摘要 ”和 运算 后 的 “信息 摘要 ” 进 
行 比较 ,如 果 两 者 的 值 相同 ,就 可 以 确认 接收 到 的 DNS 信息 是 完整 的 , 即 是 由 正确 的 DNS 
服务 器 得 到 的 响应 。 

由 此 可 以 看 出 ,在 DNSSEC 中 所 有 返回 给 域名 解析 器 (DNS 客户 端 程序 ) 的 响应 都 附 
加 了 数字 签名 。 域 名 解析 器 通过 数字 签名 来 验证 这 些 记录 与 权威 的 域名 服务 器 上 的 记录 是 
和 否 完全 一 致 。 数 字 签 名 采用 的 是 公 钥 加 密 系 统 , 它 产生 的 密 钥 对 分 为 公 钥 和 私 钥 两 部 分 。 
其 中 , 私 钥 需要 保密 存储 ,用 来 对 区 域 文件 中 的 DNS 信息 的 “数字 摘要 ”进行 加 密 ; 公 钥 需 
要 在 DNS 服务 器 上 公开 发 布 ,域名 解析 器 接收 到 域名 服务 器 发 送 的 响应 记录 后 ,使 用 公 钥 
对 响应 记录 中 的 数字 签名 进行 解密 ,将 得 到 的 值 与 所 接收 到 的 DNS 信息 进行 Hash 运算 获 
得 的 值 进行 对 比 ,如 果 相 同 , 说 明 该 记录 是 合法 的 。 

为 了 实现 上 述 功能 ,DNSSEC 定义 了 三 种 资源 记录 (RR): 用 于 存放 DNS 信息 数字 签 
名 的 SIG RR .用 于 存放 解密 公 钥 的 KEY RR 和 用 于 存放 和 否定 应 答 ( 即 不 存在 资源 记录 ) 的 
NXT RR。 

2. DNSSEC 的 工作 机 制 

在 DNS 系统 中 ,每 一 个 DNS 服务 器 可 以 管理 一 个 区 域 ,例如 com. cn 就 是 一 个 区 域 
(zone) ,在 该 区 域 上 再 创建 子 区 域 ( 称 为 “ 子 域 ”) ,如 sina. com. cn、yahoo. com. cn 等 。 

DNSSEC 对 DNS 区 域 中 的 记录 进行 签名 和 验证 是 建立 在 对 该 区 域 信任 的 基础 上 。 为 
了 实现 对 区 域 密 钥 的 信任 ,需要 由 父 域 对 子 域 进 行 验证 。DNS 系统 为 一 树 形 结构 ,DNS 客 
户 端 通过 递归 方式 进行 域名 的 查询 ,在 一 个 完整 的 DNS 递归 查询 过 程 中 ,第 一 个 要 查询 的 
名 字 服 务 器 为 根 域 服务 器 (如 图 5-33 所 示 )。 在 DNSSEC 系统 中 ,DNS 客户 端的 域名 解析 
器 首先 确保 根 域 是 可 信任 的 ,然后 信任 由 根 域 签名 的 子 域 ,并 依 此 类 推 。 

这 种 从 根 域 开始 ,由 上 到 下 逐 级 签名 验证 的 方式 被 称 为 信任 链 (Trusted Chain) , 即 父 


域 与 子 域 之 间 逐 级 建立 信任 关系 。 由 此 可 以 看 出 , 根 域 是 整个 DNSSEC 的 安全 入 口 ,每 一 
个 支持 DNSSEC 的 DNS 客户 端 解析 器 都 需要 建立 与 根 域 之 间 的 信任 关系 , 即 需 要 安装 根 
域 的 公 钥 。 同 时 , 根 域 以 下 的 DNS 服务 器 之 间 也 要 通过 公 钥 系统 建立 信任 关系 。 一 般 情况 
下 ,每 一 个 区 域 通过 相应 的 密码 算法 产生 一 个 公 钥 / 私 钥 对 ,并 保存 在 该 区 域 的 一 个 权威 名 
字 服 务 器 内 。 在 域名 查询 过 程 中 , 当 查询 到 某 一 个 区 域 时 ,由 该 区 域 的 权威 名 字 服 务 器 用 自 
己 的 私 钥 对 DNS 信息 的 “摘要 信息 ”进行 数字 签名 ,该 区 域 ( 父 域 ) 的 下 级 区 域 ( 子 域 ) 用 公 钥 
对 签名 数据 进行 解密 。 

图 5-34 所 示 的 是 一 个 DNSSEC 系统 的 查询 和 应 答 过 程 。 其 中 ,系统 中 的 所 有 客户 端 
和 服务 器 都 支持 DNSSEC, 区 域 abc. cn 的 权威 名 字 服 务 器 为 auth. abc. cn ,区域 xyz. net 的 
权威 名 字 服 务 器 为 auth. xyz. net。 


安全 区 域 xyz.net 


abc. cn 的 签 发 


名 信 息 和 auth.abe.cn 的 公 | 碍 


名 字 服 务 器 权威 名 字 服 务 器 
图 5-34 DNSSEC 系统 的 查询 和 应 答 过 程 


现在 ,客户 端 要 查询 www. abc. cn。 具 体 查询 过 程 为 : 由 于 DNS 客户 端 设置 的 DNS 
服务 器 的 地 址 指向 了 dns. xyz. net, 所 以 DNS 客户 端 向 名 字 服 务 器 dns. xyz. net 发 送 一 
查询 请 求 ,请 求 www. abc. cn 的 资源 记录 。 假 设 dns. xyz. net 服务 器 的 缓存 中 没有 该 记录 ， 
dns. xyz. net 服务 器 便 将 该 查询 请 求 发 给 dns. abc. cn 服务 器 ,最 后 由 dns. abc. cn 服务 器 查 
询 到 了 www. abc. cn 的 资源 记录 。 因 为 安全 区 域 abc. cn 授权 auth. abc. cn 服务 器 管理 本 
区 域 中 的 密 钥 ,而 安全 区 域 xyz. net 授权 auth. xyz. net 服务 器 管理 本 区 域 中 的 密 钥 , 所 以 
auth. abc. cn 服务 器 将 www. abc. cn 查询 的 应 答 信息 用 自己 的 私 钥 进行 签名 并 转发 给 
auth. xyz. net 服务 器 ,auth. xyz. net 服务 器 对 接收 到 的 签名 信息 用 auth. abc. cn 服务 器 的 
公 钥 进行 解密 ,以 验证 应 答 信 息 的 安全 性 和 完整 性 。 当 auth. xyz. net 服务 器 通过 验证 后 ,再 
将 应 答 信 息 转 发 给 DNS 客户 端 ,此 过 程 也 要 利用 数字 签名 验证 应 答 信 息 的 安全 性 和 完整 性 。 
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3. DNSSEC 的 应 用 现状 

DNSSEC 作为 对 目前 DNS 的 安全 扩展 ,可 有 效 地 防范 DNS 存在 的 各 种 攻击 ,保证 客 
户 端 收 到 的 DNS 记录 的 真实 性 和 完整 性 。 此 外 ,DNSSEC 与 原 有 的 DNS 具有 向 下 的 兼容 
性 ,在 实现 上 具有 可 行 性 。 但 是 ,由 于 Internet 的 特殊 性 ,就 像 从 IPv4 到 IPv6 的 迁移 一 样 ， 
从 DNS 到 DNSSEC 的 转换 不 可 能 在 短期 内 完成 ,需要 一 个 渐进 的 过 程 。 可 以 先 有 针对 性 
地 建立 一 些 安全 区 域 ,如 . cn、. net 等 ,然后 再 向 其 他 区 域 扩展 。 当 整个 Internet 部 署 了 
DNSSEC 后 ,所 有 的 信任 将 集中 到 根 域 下 。 

在 DNSSEC 系统 中 ,不 但 DNS 服务 器 要 支持 安全 扩展 功能 ,而 且 DNS 客户 端 也 要 支 
持 该 功能 。 目 前 ,基于 Windows Server 2003 .Linux 和 UNIX 等 操作 系统 的 DNS 服务 器 都 
可 以 支持 DNSSEC, Windows XP/Vista、Linux 等 较 新 操作 系统 的 DNS 客户 端 也 已 支持 
DNSSEC。 

但 是 ,目前 在 推广 DNSSEC 上 存在 许多 问题 或 困难 : 一 是 由 于 整个 Internet 上 的 DNS 
记录 非常 庞大 ,如 果 要 部 署 适用 于 整个 Internet 的 DNSSEC ,需要 投入 大 量 时 间 和 设备 , 同 
时 还 要 得 到 所 有 区 域 服务 器 提供 商 的 支持 。 二 是 DNSSEC 只 是 提供 了 对 DNS 记录 真实 性 
的 验证 ,只 是 在 有 限 的 程度 上 为 用 户 通信 的 安全 提供 了 保证 。 但 要 完全 保证 用 户 信息 的 安 
全 ,还 需要 对 应 用 程序 和 数据 传输 的 各 个 环节 加 强 其 安全 性 。 三 是 DNSSEC 在 DNS 请 求 
和 应 答 中 添加 了 数字 签名 ,一 方面 增加 了 通信 的 流量 和 复杂 性 , 另 一 方面 安全 性 主要 依赖 于 
公 钥 技术 的 安全 性 ,所 以 对 于 DNSSEC 系统 来 说 是 否 会 存在 新 的 安全 问题 也 是 一 个 未 
知 数 。 


5.5.4 实验 操作 5 DNS 系统 的 安全 设置 


DNS 系统 的 安全 涉及 到 DNS 服务 器 .DNS 客户 端 .路 由 器 和 防火 墙 等 设备 或 系统 ,下 
面 仅 介绍 一 些 常用 的 安全 技术 和 措施 。 

1. 选择 安全 性 较 高 的 DNS 服务 器 软件 

Internet 上 大 量 的 DNS 服务 器 软件 使 用 的 是 基于 UNIX/Linux 的 BIND 软件 ,目前 最 
新 版 本 为 BIND 9. x。 最 新 版 本 的 BIND 软件 支持 许多 安全 特性 ,如 支持 DNSSEC ,解决 了 
早期 版 本 中 存在 的 一 些 安全 漏洞 等 。 对 于 在 Internet 上 的 DNS 服务 器 建议 采用 BIND 软 
件 ,并 将 其 升级 为 最 新 版 本 。 

随 着 Windows NT 系统 的 广泛 使 用 ,许多 中 小 企业 使 用 Windows NT 自 带 的 DNS 软 
件 组 建 DNS 服务 器 。 对 于 这 些 用 户 ,一 方面 建议 使 用 Windows Server 2003 作为 服务 器 操 
作 系 统 , 利 用 Windows Server 2003 操作 系统 自身 的 安全 性 增加 DNS 服务 器 的 安全 性 ; 另 
一 方面 是 在 一 台 Windows Server 2003 的 域 控制 器 上 创建 DNS 服务 器 ,这 样 可 以 利用 活动 
目录 的 安全 功能 加 强 对 DNS 的 安全 管理 。 如 果 用 户 的 DNS 服务 器 建立 在 没有 域 的 独立 服 
务 器 上 ,建议 将 其 升级 为 一 台 域 控制 器 。 

2. 限制 端口 

DNS 在 工作 时 使 用 UDP 53 和 TCP 53 端口 进行 通信 。 其 中 ,DNS 服务 器 会 同时 监听 
这 两 个 端口 ,DNS 客户 端 通过 UDP 53 端口 与 DNS 服务 器 之 间 进 行 域名 解析 的 请 求 和 应 
答 , 而 TCP 53 端口 用 于 DNS 区 域 之 间 的 数据 复制 。 

为 此 ,对 于 专用 DNS 服务 器 ,可 通过 防火 墙 的 设置 或 直接 在 DNS 服务 器 操作 系统 上 的 


设置 ,只 开放 UDP 53 和 TCP 53 两 个 端口 ,限制 其 他 端口 的 通信 ,通过 端口 限制 功能 来 加 
强 系 统 的 安全 性 。Windows 操作 系统 中 的 操作 方法 可 参阅 本 章 5. 4. 4 节 中 “限制 TCP 端 
口 ” 的 内 容 。 

根据 教学 需要 ,本章 结合 TCP/IP 参考 模型 重点 介绍 了 ARP、DHCP、TCP 和 DNS 协 
议 的 工作 原理 及 存在 的 安全 问题 ,并 结合 实际 应 用 提出 了 一 些 可 行 的 解决 方法 。 其 实 , 本 章 
的 内 容 仅 是 对 TCP/IP 参考 模型 中 安全 问题 的 一 个 初探 ,从 目前 的 应 用 和 研究 来 看 ,TCP/ 
IP 中 的 每 一 个 协议 几乎 都 存在 安全 问题 。 为 此 ,希望 读者 通过 本 章 的 学 习 , 通 过 参阅 相关 
资料 ,加深 对 通信 协议 的 理解 和 分 析 , 在 以 后 的 工作 中 提高 网 络 的 安全 人性。 


习 题 


5-1 联系 OSI 参考 模型 ,介绍 TCP/IP 参考 模型 的 分 层 特点 及 各 层 的 功能 。 

5-2 结合 图 5-4 ,描述 互联 网 络 中 两 台 主机 之 间 的 通信 过 程 。 

5-3 结合 ARP 协议 的 工作 特点 ,描述 ARP 欺骗 的 工作 原理 。 

5-4 结合 TCP/IP 网 络 中 计算 机 和 交换 机 的 工作 原理 ,分 别 描述 针对 计算 机 和 交换 机 
的 ARP 欺骗 的 特点 。 

5-5 在 中 小 网 络 中 如 何 防范 ARP 欺骗 ? 并 通过 实验 进行 验证 。 

5-6 ”结合 DHCP 的 工作 原理 和 网 络 运行 实际 ,指出 目前 计算 机 网 络 中 针对 DHCP 存 
在 的 主要 安全 问题 及 产生 的 危害 。 

5-7 ”如 何 通 过 对 交换 机 和 操作 系统 的 设置 加 强 DHCP 服务 的 安全 ? 

5-8 在 掌握 TCP 传输 三 个 过 程 的 基础 上 ,分 析 TCP 协议 存在 的 安全 问题 ,并 结合 实 
际 提出 相应 的 解决 方法 。 

5-9 结合 DNS 的 工作 过 程 ,描述 DNS 缓存 中 毒 、 拒 绝 服务 攻击 和 域名 支持 的 实现 

5-10 描述 DNSSEC 的 工作 原理 和 工作 过 程 。 
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第 6 章 | 计算 机 病毒 .木马 和 间谍 软件 与 防治 


近年 来 , 随 着 计算 机 网 络 的 广泛 应 用 ,全 球 信息 化 不 断 加 快 ,以 计算 机 网 络 为 平台 的 信 
息 技术 和 应 用 已 触及 社会 生活 的 各 个 角落 。 但 由 于 计算 机 网 络 所 固有 的 结构 松散 、 系 统 
放 、 主 机 和 终端 具有 多 样 性 等 特点 ,致使 网 络 易 受 病毒 .黑客 .恶意 软件 和 其 他 不 良 行为 的 破 
坏 或 影响 。 我 们 应 该 对 计算 机 网 络 进行 全 方位 的 安全 防范 ,以 保障 网 络 系统 的 正常 运行 ,其 
中 计算 机 病毒 的 防治 是 最 为 普遍 和 有 效 的 一 种 安全 措施 。 本 章 将 从 计算 机 病毒 的 特征 、 危 
害 和 发 展 等 基本 知识 入 手 ,在 对 计算 机 病毒 .木马 和 间谍 软件 有 一 个 总 体 认识 后 ,将 有 针对 
性 地 介绍 一 些 病 毒 的 特征 及 防治 方法 。 


6.1 计算 机 病毒 概述 


从 单机 操作 开始 ,计算 机 病毒 的 危害 性 已 被 大 多 数 人 所 共 知 。 在 计算 机 网 络 广泛 使 用 
的 今天 ,计算 机 病毒 几乎 遍及 到 每 一 台 计算 机 ,只 是 所 造成 的 危害 不 同 而 已 。 就 像 每 一 个 人 
会 不 同 程度 的 存在 一 些 不 健康 因素 一 样 ,每 一 台 计 算 机 都 存在 着 病毒 的 侵害 。 


6.1.1 计算 机 病毒 的 概念 


计算 机 病毒 (virus) 的 传统 定义 是 指 人 为 编制 或 在 计算 机 程序 中 插入 的 ,破坏 计算 机 功 
能 或 者 毁坏 数据 .影响 计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 现 在 计 
算 机 病毒 的 定义 已 远 远 超出 了 以 上 的 定义 ,其 中 破坏 的 对 象 不 仅仅 是 计算 机 ,同时 还 包括 交 
换 机 、 路 由 器 等 网 络 设备 ; 影响 的 不 仅仅 是 计算 机 的 使 用 ,同时 还 包括 网 络 的 运行 性 能 。 就 
像 许多 生物 病毒 具有 传染 性 一 样 , 绝 大 多 数 计算 机 病毒 具有 独特 的 复制 能 力 和 感染 良性 程 
序 的 特性 。 

借助 计算 机 网 络 ,计算 机 病毒 可 以 快速 地 蔓延 ,一 旦 某 一 病毒 发 作 将 很 难 进行 控制 和 根 
除 。 计 算 机 病毒 将 其 自身 附着 在 各 种 类 型 的 文件 (如 可 执行 文件 ,图片 文件 和 电子 邮件 等 ) 
上 , 当 附 有 计算 机 病毒 的 文件 被 复制 或 从 一 台 主 机 传送 到 另 一 台 主 机 时 ,它们 就 随同 文件 一 
起 蔓延 开 来 。 目 前 ,计算 机 病毒 已 成 为 网 络 安全 的 主要 威胁 之 一 。 

种 类 繁多 的 计算 机 病毒 将 导致 计算 机 或 网 络 系统 瘫痪 ,程序 和 数据 严重 破坏 ; 使 网 络 
产生 阻塞 ,运行 效率 大 大 降低 ; 使 计算 机 或 网 络 系统 的 一 些 功能 无 法 正常 使 用 ; 使 电子 银 
行 .电子 政务 等 网 上 信息 交换 存在 其 骗 性 等 诸多 影响 。 层 出 不 穷 的 各 种 各 样 的 计算 机 病毒 
活跃 在 网 络 的 每 个 角落 ,如 近 几 年 的 冲击 波 、 震 荡 波 、 灰 蚀 子 .QQ 尾巴 、 网 游 盗号 木马 和 能 
猫 烧香 病毒 等 ,给 用 户 的 正常 工作 造成 了 严重 威胁 。 


6.1.2 计算 机 病毒 的 将 征 


计算 机 或 网 络 病毒 本 身 也 是 一 个 或 一 段 计算 机 程序 ,只 是 该 程序 是 用 来 破坏 计算 机 系 
统 或 影响 计算 机 系统 正常 运行 的 “恶性 ”程序 。 从 计算 机 病毒 的 本 质 来 看 , 它 具 有 以 下 几 个 
明显 特征 。 

1. 非 授权 可 执行 性 

用 户 通常 在 调用 并 执行 一 个 程序 时 ,系统 会 将 控制 权 交 给 这 个 程序 ,并 分 配给 该 程序 相 
应 的 系统 资源 (如 内 存 等 ), 从 而 使 之 能 够 运行 完成 用 户 的 需求 。 因 此 程序 执行 的 过 程 对 用 
户 是 透明 的 。 而 计算 机 病毒 是 非法 程序 ,不 过 正常 用 户 是 不 会 知道 该 程序 是 病毒 程序 ,从 而 
像 调 用 正常 的 程序 一 样 来 调用 并 执行 。 但 由 于 计算 机 病毒 具有 正常 程序 的 一 切 特性 : 可 存 
储 性 和 可 执行 性 , 当 计 算 机 病毒 隐藏 在 合法 的 程序 或 数据 中 ,在 用 户 运 行 正常 程序 时 ,病毒 
便 会 伺机 穷 取 到 系统 的 控制 权 , 并 得 以 抢先 运行 。 然 而 ,此 时 用 户 还 认为 在 执行 正常 程序 。 

2. 隐蔽 性 

计算 机 病毒 是 一 种 由 编程 人 员 编 写 的 短小 精 悍 的 可 执行 程序 。 它 通常 附着 在 正常 程序 
或 磁盘 的 引导 扇 区 中 ,同时 也 会 存储 在 表面 上 看 似 损 坏 的 磁盘 扇 区 中 ,因此 计算 机 病毒 具有 
非法 可 存储 性 。 计 算 机 病毒 不 管 是 在 存在 方式 还 是 传播 途径 上 都 会 想方设法 地 隐藏 自己 ， 
以 尽量 避 开 用 户 或 查 病毒 软件 。 

3. 传染 性 

传染 性 是 计算 机 病毒 最 重要 的 特征 ,也 是 各 类 查 病毒 软件 判断 一 段 程序 代码 是 否 为 计 
算 机 病毒 的 一 个 重要 依据 。 病 毒 程序 一 旦 侵入 计算 机 系统 就 开始 搜索 可 以 传染 的 程序 或 者 
磁 介 质 , 然 后 通过 自我 复制 迅速 进行 传播 。 由 于 目前 计算 机 网 络 的 应 用 非常 广泛 ,这 就 使 计 
算 机 病毒 可 以 在 极 短 的 时 间 内 传播 到 其 他 的 计算 机 上 ,尤其 是 Internet 的 应 用 更 为 计算 机 
病毒 的 传播 提供 了 全 球 性 的 高 速 通道 。 

4. 潜伏 性 

计算 机 病毒 具有 依附 于 其 他 程序 的 能 力 , 所 以 计算 机 病毒 具有 寄生 能 力 。 将 用 于 寄生 
计算 机 病毒 的 程序 (良性 程序 ) 称 之 为 计算 机 病毒 的 宿主 。 依 靠 病毒 的 寄生 能 力 , 计 算 机 病 
毒 在 传染 良性 程序 后 ,有 时 不 会 马上 发 作 ,而 在 隐藏 一 段 时 间 后 在 一 定 的 条 件 ( 如 时 间 ,例如 
“黑色 星期 五 病毒 ”下 开始 发 作 。 这 样 ,病毒 的 潜伏 性 越 隐 项 , 它 在 系统 中 存在 的 时 间 也 就 
越 长 ,病毒 传染 的 范围 也 越 广 , 其 危害 性 也 就 越 大 。 

5. 破坏 性 

无 论 是 何 种 病毒 程序 ,一 旦 侵入 计算 机 系统 都 会 对 操作 系统 的 运行 造成 不 同 程度 的 影 
响 。 即 使 不 直接 产生 破坏 作用 的 病毒 程序 也 要 占用 系统 的 资源 (如 内 存 空间 、 磁 盘存 储 空间 
等 )。 而 绝 大 多 数 病毒 程序 在 运行 时 要 显示 一 些 文字 或 图 像 ,会 影响 系统 的 正常 运行 。 还 有 
一 些 病 毒 程序 会 删除 系统 中 的 文件 ,或 加 密 磁 盘 中 的 数据 ,甚至 摧毁 整个 系统 ,使 系统 无 法 
恢复 ,造成 无 法 挽回 的 损失 。 因 此 ,病毒 程序 轻 则 降低 系统 的 运行 效率 , 重 则 导致 系统 崩溃 
或 数据 丢失 。 计 算 机 病毒 的 破坏 性 表现 了 绝 大 多 数 计算 机 病毒 设计 者 的 真正 意图 。 

6. 可 触发 性 

计算 机 病毒 一 般 都 有 一 个 或 者 几 个 触发 条 件 , 当 满足 该 触发 条 件 后 计算 机 病毒 便 会 
始 发 作 。 和 触发 的 实质 是 一 种 条 件 的 控制 ,病毒 程序 可 以 依据 设计 者 的 要 求 ,在 一 定 条 件 下 实 
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施 攻 击 。 这 个 条 件 可 以 是 输入 的 特定 字符 、 特 定 文件 、 特 定 日 期 或 特定 时 刻 ,也 可 以 利用 病 
毒 内 置 的 计数 器 来 实现 触发 。 


6.1.3 计算 机 病毒 的 分 类 


一 些 病毒 被 设计 为 通过 损坏 程序 、 删 除 文件 或 重新 格式 化 硬盘 来 损坏 计算 机 。 有 些 病 
毒 不 损坏 计算 机 ,而 只 是 复制 自身 ,并 通过 显示 文本 、 视 频 和 音频 消息 表明 它们 的 存在 。 即 
使 是 这 些 良 性 病毒 也 会 给 计算 机 用 户 带 来 影响 。 通 常 它们 会 占用 合法 程序 使 用 的 计算 机 内 
存 , 使 正常 的 程序 运行 产生 异常 ,甚至 导致 系统 崩溃 。 另 外 ,许多 病毒 包含 大 量 错误 ,这些 错 
误 可 能 导致 系统 崩溃 和 数据 丢失 。 根 据 Symantec 等 公司 的 总 结 , 目 前 可 识别 的 计算 机 病 
毒 可 以 分 为 以 下 5 类 。 

1. 文件 传染 源 病毒 

文件 传染 源 病毒 感染 程序 文件 。 这 些 病毒 通常 感染 可 执行 代码 ,例如 . com 和 . exe 文 
件 等 。 当 受 感染 的 程序 从 软盘 、U 盘 或 硬盘 上 运行 时 ,可 以 感染 其 他 文件 。 这 些 病 毒 中 有 
许多 是 内 存 驻 留 型 病毒 。 内 存 受到 感染 之 后 ,运行 的 任何 未 感染 的 可 执行 文件 都 会 受到 感 
染 。 已 知 的 文件 传染 源 病毒 包括 Jerusalem、Cascade 等 。 

2. 引导 扇 区 病毒 

引导 扇 区 病毒 感染 磁盘 的 系统 区 域 , 即 软盘 、U 盘 和 硬盘 的 引导 记录 。 所 有 软盘 、U 盘 
和 硬盘 (包括 仅 包 含有 数据 的 磁盘 ) 的 引导 记录 中 都 包含 一 个 小 程序 ,该 程序 在 计算 机 启动 
时 运行 。 引 导 扇 区 病毒 将 自身 附加 到 磁盘 的 这 一 部 分 ,并 在 用 户 试图 从 受 感染 的 磁盘 启动 
时 激活 。 这 些 病 毒 本 质 上 通常 都 是 内 存 驻 留 型 病毒 。 其 中 大 部 分 引导 扇 区 病毒 是 针对 
DOS 编写 的 ,但 所 有 计算 机 (无 论 使 用 什么 操作 系统 ) 都 是 此 类 病毒 的 潜在 目标 。 只 要 试图 
用 受 感染 的 软盘 或 U 盘 启 动 计算 机 就 会 被 感染 。 此 后 ,由 于 病毒 存在 于 内 存 中 ,因此 访问 
软盘 或 U 盘 时 ,所 有 未 写 保 护 的 软盘 或 U 盘 都 会 受到 感染 。 引 导 扇 区 病毒 主要 包括 
Form Disk Killer、Michelangelo 和 Stoned 等 。 

3. 主 引 导 记 录 病 毒 

主 引导 记录 病毒 是 内 存 驻 留 型 病毒 , 它 感染 磁盘 的 方式 与 引导 扇 区 病毒 相同 。 这 两 种 
病毒 类 型 的 区 别 在 于 病毒 代码 的 位 置 。 主 引导 记录 感染 源 通常 将 主 引导 记录 的 合法 副本 保 
存在 另 一 个 位 置 ,受到 引导 扇 区 病毒 或 主 引导 扇 区 病毒 感染 的 Windows NT/2000/2003 计 
算 机 将 不 能 启动 ,这 是 由 于 Windows NT/2000/2003 操作 系统 访问 其 引导 信息 的 方式 与 
Windows 9x 不 同 。 早 期 ,如 果 Windows NT 使 用 FAT 分 区 格式 化 ,通常 可 以 通过 启动 到 
DOS 系统 ,并 使 用 防 病毒 软件 来 清除 病毒 。 如 果 引 导 分 区 是 NTFS, 则 必须 使 用 三 张 
Windows NT 安装 盘 才 能 恢复 系统 。 不 过 ,现在 的 DOS 启动 可 以 同时 支持 FAT 和 NTFS 
两 种 方式 。 主 引导 记录 病毒 主要 有 NYB、AntiExe 和 Unashamed 等 。 

4. 复合 型 病毒 

复合 型 病毒 同时 感染 引导 记录 和 程序 文件 ,并 且 被 感染 的 记录 和 程序 较 难 修复 。 如 果 
清除 了 引导 区 ,但 未 清除 文件 , 则 引导 区 将 再 次 被 感染 。 同 样 ,只 清除 受 感染 的 文件 也 不 能 
完全 清除 该 病毒 。 如 果 未 清除 引导 区 的 病毒 , 则 清除 过 的 文件 将 被 再 次 感染 。 复 合 型 病毒 
包括 One_Half、.Emperor、Anthrax 和 Tequilla 等 。 


5. 宏 病毒 

宏 病毒 是 目前 最 常见 的 病毒 类 型 , 它 主 要 感染 数据 文件 。 随 着 Microsoft Office 97 中 
Visual Basic 的 出 现 ,编写 的 宏 病 毒 不 仅 可 以 感染 数据 文件 ,还 可 以 感染 其 他 文件 。 宏 病毒 
可 以 感染 Microsoft Office Word、Excel、.PowerPoint 和 Access 文件 。 现 在 ,这 类 新 威胁 也 
出 现在 其 他 程序 中 。 所 有 这 些 病 毒 都 使 用 其 他 程序 的 内 部 程序 设计 语言 ,创建 该 语言 的 原 
意 是 使 用 户 能 够 在 该 程序 内 部 自动 执行 某 些 任务 。 这 些 病 毒 很 容易 创建 ,现在 传播 着 的 就 
有 几 千 种 ,曾经 广泛 流行 的 宏 病毒 主要 包括 W97M. Melissa、Macro. Melissa (美丽 莎 )、 
WM. NiceDay 和 W97M. Groov 等 。 


6.1.4 病毒 .蠕虫 和 木马 


病毒 、 蠕 虫 和 木马 是 破坏 计算 机 和 计算 机 中 信息 的 恶意 程序 。 但 病毒 .蠕虫 和 木马 之 间 
在 本 质 上 还 是 有 区 别 的 。 

1. 病毒 的 特点 

计算 机 病毒 是 编写 的 一 段 程序 , 它 可 以 在 未 经 用 户 许可 ,甚至 在 用 户 不 知情 的 情况 下 改 
变 计算 机 的 运行 方式 。 病 毒 必须 满足 如 下 两 个 条 件 。 

(1) 必须 能 自行 执行 。 它 通常 将 自己 的 代码 置 于 另 一 个 程序 的 执行 路 径 中 。 

(2) 必须 能 自我 复制 。 病 毒 代码 的 明确 目的 是 自我 复制 。 例 如 , 它 可 能 用 受 病毒 感染 
的 文件 副本 替换 其 他 可 执行 文件 。 病 毒 既 可 以 感染 桌面 计算 机 也 可 以 感染 网 络 服务 器 。 

与 蠕虫 相 比 ,病毒 可 破坏 计算 机 硬件 .软件 和 数据 。 

2 蠕虫 的 特点 

蠕虫 属于 计算 机 病毒 的 子 类 ,所 以 也 称 为 "蠕虫 病毒 ”。 通 常 ,蠕虫 的 传播 无 需 人 为 干 
预 ,并 可 通过 网 络 进行 自我 复制 ,在 复制 过 程 中 可 能 有 改动 。 与 病毒 相 比 ,蠕虫 可 消耗 内 存 
或 网 络 带宽 ,并 导致 计算 机 停止 响应 。 

与 病毒 类 似 ,蠕虫 也 在 计算 机 与 计算 机 之 间 自 我 复制 ,但 蠕虫 可 自动 完成 复制 过 程 , 因 
为 它 接管 了 计算 机 中 传输 文件 或 信息 的 功能 。 一 旦 计算 机 感染 了 蠕虫 ,蠕虫 即 可 独自 传播 。 
但 最 危险 的 是 ,蠕虫 可 大 量 复制 。 例 如 ,蠕虫 可 向 电子 邮件 地 址 短 中 的 所 有 联系 人 发 送 自 己 
的 副本 ,联系 人 的 计算 机 也 将 执行 同样 的 操作 ,结果 造成 多 米 诺 效应 (网 络 通信 和 负担 沉重 )， 
业务 网 络 或 整个 局 域 网 的 速度 都 将 减 慢 。 一 旦 新 的 蠕虫 被 释放 ,传播 速度 将 非常 迅速 。 蠕 
虫 不 仅 会 使 网 络 堵塞 ,还 会 使 用 户 的 上 网 速度 变 慢 。 

与 病毒 相 比 ,蠕虫 的 传播 不 必 通 过 “主机 ”程序 或 文件 ,因此 蠕虫 可 潜入 用 户 的 系统 并 允 
许 其 他 用 户 或 程序 远程 操控 由 蠕虫 感染 的 计算 机 。 例 如 ,MyDoom 蠕虫 可 打开 受 感染 系统 
的 “后 门 ”, 然 后 使 用 这 些 系 统 对 网 站 发 起 攻击 。 

蠕虫 是 不 使 用 驻 留 文件 即 可 在 系统 之 间 复 制 自身 的 程序 。 这 点 与 病毒 不 同 ,病毒 需要 
传播 受 感染 的 驻 留 文件 。 尽 管 蠕虫 通常 存在 于 其 他 文件 (通常 是 Word、Excel 等 ) 内 部 ,但 
蠕虫 和 病毒 使 用 驻 留 文件 的 方式 不 同 。 通 常 ,蠕虫 将 发 布 其 中 已 包含 “蠕虫 ” 宏 的 文档 。 这 
样 ,整个 文档 将 在 计算 机 之 间 传 播 , 所 以 应 将 整个 文档 视 为 蠕虫 。 

蠕虫 的 前 绥 一 般 是 Worm。 这 种 病毒 的 公有 特性 是 通过 网 络 或 计算 机 系统 漏洞 进行 传 
播 ,大 部 分 的 蠕虫 都 有 向 外 发 送 带 毒 邮件 ,阻塞 网 络 的 特性 。 比 如 冲击 波 和 震荡 波 (阻塞 网 
络 ) ,小 邮差 (发 带 毒 邮件 ) 等 。 
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3. 木马 的 特点 

木马 的 全 称 为 “特洛伊 木马 ”, 它 是 具有 坎 骗 性 的 文件 (宣称 是 良性 的 ,但 事实 上 是 恶 
意 的 )。 在 神话 传说 中 ,特洛伊 木马 表面 上 是 “礼物 ”, 但 实际 却 藏 匿 了 大 量 袭 击 特洛伊 城 
的 希腊 士兵 。 现 在 ,特洛伊 木马 是 一 些 表面 有 用 的 程序 ,但 实际 目的 是 危害 计算 机 安全 
性 并 破坏 计算 机 系统 。 所 以 ,可 以 将 木马 定义 为 : 一 种 表面 有 用 ,但 实际 有 破坏 作用 的 计 
算 机 程序 。 

木马 与 病毒 的 重大 区 别 是 木马 并 不 像 病毒 那样 复制 自身 。 木 马 包 含 能 够 在 触发 时 导致 
数据 丢失 其 至 被 窃 的 恶意 代码 。 要 使 木马 传播 ,必须 在 计算 机 上 有 效 地 启用 这 些 程序 ,例如 
打开 电子 邮件 附件 等 。 

目前 ,木马 主要 通过 两 种 途径 进行 传播 : 电子 邮件 和 文件 下 载 。 一 旦 用 户 禁 不 起 诱惑 
打开 了 自 认为 安全 的 电子 邮件 的 附件 ,木马 便 会 趁机 传播 。 例 如 ,为 了 更 好 地 保护 用 户 的 系 
统 , 现 在 许多 公司 或 用 户 通过 电子 邮件 给 用 户 发 送 安 全 公告 时 都 不 包含 附件 ,例如 微软 公司 
的 安全 公告 等 。 另 外 ,木马 也 可 能 包含 在 免费 下 载 软件 中 ,所 以 用 户 在 Internet 上 下 载 了 免 
费 软件 后 ,在 安装 之 前 一 定 要 进行 安全 检查 。 对 于 安全 要 求 较 高 的 计算 机 ,建议 不 要 安装 从 
Internet 上 直接 下 载 的 软件 。 

木马 的 前 缀 是 Trojan。 木 马 的 公有 特性 是 通过 网 络 或 者 系统 漏洞 进入 用 户 的 系统 并 
隐藏 ,然后 向 外 界 泄露 用 户 的 信息 。 木 马 和 黑客 软件 往往 是 成 对 出 现 的 , 即 木 马 负责 侵入 用 
户 的 计算 机 ,而 黑客 软件 则 会 通过 该 木马 来 进行 控制 。 

对 于 Windows 用 户 来 说 ,为 了 有 效 地 防止 木马 ,还 需要 经 常 利 用 Microsoft Update 或 
Microsoft Office Update 下 载 Microsoft 更 新 程序 或 修补 程序 。 

需要 注意 的 是 ,病毒 .蠕虫 与 木马 之 间 存 在 着 一 定 区 别 , 但 由 于 它们 都 对 计算 机 及 网 络 
系统 产生 危害 和 威胁 ,所 以 人 们 将 三 者 统称 为 “计算 机 病毒 或 “病毒 *。 为 此 ,在 本 章 随 后 的 
内 容 介 绍 中 ,也 会 出 现 “ 蠕 虫 病毒 "和 "木马 病毒 "的 提 法 。 


6.1.5 计算 机 病毒 的 演变 过 程 


20 世纪 80 年 代 早期 出 现 了 第 一 批 计算 机 病毒 。 这 些 病毒 的 工作 原理 相对 比较 简单 ， 
一 般 是 自行 文件 的 复制 ,并 在 执行 时 显示 简单 的 恶作剧 而 已 。 

1986 年 ,媒体 报道 了 攻击 Microsoft MS-DOS 个 人 计算 机 的 第 一 批 病毒 ,人 们 普遍 认为 
Brain 病毒 是 这 些 计算 机 病毒 中 的 第 一 种 病毒 。 同 时 出 现 的 病毒 还 包括 Virdem( 第 一 个 文 
件 病毒 ) 和 PC-Write( 第 一 个 木马 ) ,在 PC-Write 中 木马 程序 伪装 成 一 个 同名 的 字 处 理应 用 
程序 。 

随 着 更 多 的 人 开始 研究 病毒 技术 ,病毒 的 数量 .被 攻击 的 平台 类 型 及 病毒 的 复杂 性 和 多 
样 性 都 开始 显著 提高 。 病 毒 在 某 一 时 期 曾经 主要 感染 启动 扇 区 ,然后 又 开始 感染 可 执行 文 
件 。1988 年 出 现 了 第 一 个 通过 Internet 传播 的 蠕虫 病毒 Morris Worm, 它 曾 导致 Internet 
的 通信 速度 大 大 地 降低 。 

从 1990 年 开始 ,Internet 的 应 用 为 计算 机 病毒 编写 者 提供 了 一 个 可 实现 快速 交流 的 平 
台 ,一 些 典型 的 计算 机 病毒 便 是 大 量 病毒 编写 者 “集体 智慧 的 结晶 ”。 同 年 ,开发 出 了 第 一 个 
多 态 病毒 (通常 称 为 Chameleon 或 Casper) 。 多 态 病 毒 是 指 每 次 传染 产生 的 病毒 副本 在 外 
观 形态 上 都 发 生变 化 的 病毒 。 因 此 ,多 态 病毒 在 外 观 形 态 上 没有 固定 的 特征 码 。 由 于 多 态 


病毒 具有 在 每 次 复制 时 都 可 以 更 改 其 自身 的 能 力 ,这 使 得 当时 用 于 “识别 ?病毒 的 基于 签名 
的 防 病毒 软件 程序 很 难 检测 出 这 种 病毒 。 此 后 不 久 , 即 出 现 了 Tequila 病毒 ,这 是 出 现 的 第 
一 个 比较 严重 的 多 态 病毒 攻击 。 接 着 在 1992 年 ,出 现 了 第 一 个 多 态 病毒 引擎 和 病毒 编写 
工具 包 。 

从 此 开始 ,病毒 就 变 得 越 来 越 复杂 。 病 毒 开始 访问 电子 邮件 通信 短 , 并 将 其 自身 添加 到 
通信 德 中 ; 宏 病毒 将 其 自身 附加 到 各 种 办 公 软 件 的 应 用 程序 文件 (主要 是 微软 Office 系列 
文件 ) 并 攻击 这 些 文件 。 此 外 还 出 现 了 专门 利用 操作 系统 和 应 用 程序 漏洞 的 病毒 。 电 子 邮 
件 、 对 等 (P2P) 文 件 共享 网 络 、 网 站 、 共 享 驱动 器 产品 漏洞 和 网 络 设 备 (主要 有 交换 机 、 路 由 
器 等 ) 的 地 址 表 , 都 为 病毒 复制 和 攻击 提供 了 平台 。 在 已 感染 系统 上 创建 的 后 门 使 得 病毒 编 
写 者 (或 黑客 ) 可 以 返回 和 运行 他 们 所 选择 的 任何 软件 。 

有 些 病毒 附带 其 自身 的 能 入 式 电子 邮件 引擎 ,可 以 使 已 感染 的 系统 直接 通过 电子 邮件 
传播 病毒 ,而 绕 过 此 用 户 的 电子 邮件 客户 端 或 服务 器 中 的 相关 设置 。 病 毒 编写 者 还 开始 认 
真 地 设计 病毒 攻击 的 结构 并 开发 具有 可 信 外 观 的 电子 邮件 。 这 种 方法 旨 在 获取 用 户 的 信 
任 ,使 其 打开 附加 的 病毒 文件 ,来 显著 地 增加 大 规模 感染 的 可 能 性 。 

随 着 计算 机 和 网 络 的 普遍 使 用 ,计算 机 病毒 技术 也 在 飞速 发 展 ,各 种 新 病毒 也 在 层 
出 不 穷 。 从 1986 年 Brain 病毒 通过 5. 25 英寸 软盘 首次 大 规模 感染 计算 机 起 ,人 们 与 计 
算 机 病毒 的 斗争 就 从 未 停止 过 。 现 在 的 计算 机 病毒 不 但 种 类 繁多 ,而 且 和 危害 性 不 断 加 
强 , 同 时 病毒 开发 工具 多 种 多 样 , 且 对 开发 者 的 技术 要 求 明 显 降低 。 例 如 ,2006 年 年 底 曾 
彼 动 一 时 的 “熊猫 烧香 "病毒 的 制作 者 “武汉 男孩 " 李 俊 只 是 一 名 中 专 毕业 生 , 且 在 求职 中 
多 次 受挫 。 


6.2 蠕虫 的 清除 和 防治 方法 


对 于 病毒 .蠕虫 和 木马 之 间 的 主要 区 别 , 在 本 章 前 面 已 经 进行 了 介绍 。 从 本 节 开 始 ,将 
分 类 介绍 各 类 计算 机 病毒 的 特征 及 防治 方法 。 本 节 首 先 介绍 蠕虫 的 清除 和 防治 方法 。 


6.2.1 蠕虫 的 特征 


蠕虫 (Worm) 是 通过 分 布 式 网 络 来 扩散 特定 的 信息 ,进而 造成 正常 的 网 络 服务 遭 到 拒 
绝 并 发 生死 锁 的 程序 。 

计算 机 网 络 系统 的 建立 是 为 了 使 多 台 计算 机 能 够 共享 数据 资料 和 外 部 资源 ,然而 也 给 
计算 机 蠕虫 带 来 了 更 为 有 利 的 生存 和 传播 的 环境 。 在 网 络 环境 下 ,蠕虫 可 以 按 指数 增长 模 
式 进行 传染 。 蠕 虫 侵入 计算 机 网 络 ,可 以 导致 计算 机 网 络 效率 急剧 下 降 .系统 资源 遭 到 严重 
破坏 , 短 时 间 内 造成 网 络 系统 的 瘫 病 。 在 网 络 环境 中 ,蠕虫 具有 如 下 一 些 新 的 特性 。 

1. 传播 速度 快 

在 单机 上 ,病毒 只 能 通过 软盘 或 U 盘 等 可 移动 存储 介质 从 一 台 计算 机 传染 到 另 一 台 计 
算 机 ,而 在 网 络 中 则 可 以 通过 网 络 通信 机 制 ,借助 高 速 通信 网 络 进 行 迅 速 扩散 。 由 于 蠕虫 在 
网 络 中 传染 速度 非常 快 ,使 其 扩散 范围 很 大 ,不 但 能 迅速 传染 局 域 网 内 所 有 计算 机 ,还 能 通 
过 Internet 将 蠕虫 在 一 瞬间 传播 到 千里 之 外 。 


计算 机 闹 李 、 大 马 和 间谍 掏 件 与 防治 


震中 恰 


计算 机 网 络 安 会 技术 


2. 清除 难度 大 

在 单机 中 ,再 顽固 的 病毒 也 可 通过 删除 带 毒 文件 .低级 格式 化 硬盘 等 措施 将 病毒 清除 ， 
而 网 络 中 只 要 有 一 台 主 机 未 能 清除 干净 就 可 使 整个 网 络 重新 全 部 被 病毒 感染 ,甚至 刚刚 完 
成 清除 工作 的 一 台 主 机 马上 就 能 被 网 上 另 一 台 主 机 的 带 毒 程序 所 传染 。 因 此 , 仅 对 主机 进 
行 病毒 清除 不 能 彻底 解决 网 络 蠕虫 的 问题 ,而 需要 借助 防火 墙 等 安全 设备 进行 管理 。 

3. 破坏 性 强 

网 络 中 蠕虫 将 直接 影响 网 络 的 工作 状态 , 轻 则 降低 速度 ,影响 工作 效率 , 重 则 造成 网 络 
系统 的 瘫痪 ,破坏 服务 器 系统 资源 .使 系统 数据 毁 于 一 旦 。 例 如 ,目前 在 局 域 网 中 泛滥 的 
ARP 欺骗 便 属于 蠕虫。 


6.2.2 蠕虫 的 分 类 和 主要 感染 对 象 


由 于 蠕虫 的 最 重要 特征 是 它 本 身 就 是 一 个 独立 的 个 体 ,不 需要 依附 于 其 他 程序 上 ,而 且 
自身 能 够 进行 复制 和 传播 ,同时 它 以 网 络 作为 传播 途径 来 感染 计算 机 。 

1. 蠕虫 的 分 类 

将 “蠕虫 称 为 “蠕虫 病毒 ”, 是 因为 蠕虫 具有 病毒 的 一 些 共 性 ,如 传播 性 、 隐 蔽 性 和 破坏 
性 等 。 同 时 ,蠕虫 不 同 于 其 他 的 病毒 ,是 因为 它 具 有 自己 的 一 些 特征 ,如 不 利用 文件 寄生 ( 即 
没有 宿主 程序 ) ,在 IP 网 络 中 利用 系统 的 漏洞 进行 扫描 和 入 侵 , 导 致 网 络 被 阻塞 ,以 及 和 黑 
客 技术 相 结合 对 网 络 进行 攻击 等 。 另 外 ,从 破坏 性 上 看 ,由 于 蠕虫 利用 了 现代 计算 机 网 络 的 
特点 ,可 以 在 很 短 时 间 内 蔓延 到 整个 网 络 , 造 成 网 络 瘫 痪 。 所 以 ,蠕虫 的 破坏 性 是 其 他 病毒 
所 无 法 比拟 的 。 

根据 蠕虫 对 系统 进行 破坏 的 过 程 , 可 以 将 蠕虫 分 为 两 类 : 一 类 是 利用 系统 漏洞 进行 攻 
击 , 对 整个 网 络 ( 包 括 企业 内 部 网 络 和 互联 网 ) 产 生 威 胁 , 可 造成 网 络 瘫痪 。 主 要 有 红色 代 
码 、 尼 姆 达 和 sql 蠕虫 王 等 ; 另 一 类 是 通过 电子 邮件 及 恶意 网 页 的 形式 进行 ,主要 针对 个 人 
用 户 。 主 要 有 爱 虫 病毒 .求职 信 病 毒 等 。 其 中 ,前 一 类 蠕虫 具有 很 大 的 主动 攻击 性 和 突 发 
性 ,但 由 于 它 主 要 利用 系统 的 漏洞 对 网 络 进行 破坏 ,所 以 这 类 蠕虫 的 清除 和 防治 并 不 困难 。 
第 二 类 病毒 的 传播 方式 比较 复杂 和 多 样 , 多 利用 微软 应 用 程序 的 漏洞 和 社会 工程 学 对 用 户 
进行 欺骗 和 诱 使 ,所 以 这 类 病毒 较 难 完全 根除 。 除 两 类 典型 的 蠕虫 外 ,目前 还 存在 着 一 类 利 
用 TCP/IP 网 络 协议 的 缺陷 而 出 现 的 蠕虫 ,如 ARP 欺骗 ,DHCP 欺骗 等 ,这 些 内 容 已 在 本 书 
第 5 章 专门 进行 了 介绍 。 

2. 蠕虫 的 感染 对 象 

蠕虫 一 般 不 依赖 于 某 一 个 文件 ,而 是 通过 IP 网 络 进行 自身 复制 。 例 如 ,病毒 的 传染 能 
力主 要 是 针对 计算 机 内 的 文件 系统 而 言 , 而 蠕虫 的 传染 目标 是 网 络 内 的 所 有 主机 ,例如 局 域 
网 中 的 共享 文件 夹 .电子 邮件 、 恶 意 网 页 及 存在 一 定 漏洞 的 主机 (多 为 服务 器 和 交换 机 ) 等 都 
成 为 蠕虫 传播 的 主 选 途径 。 


6.2.3 系统 感染 蠕虫 后 的 表现 


当 里 虫 感染 计算 机 系统 后 ,表现 为 : 系统 运行 速度 和 上 网 速度 均 变 慢 ,如 果 网 络 中 有 防 
火 墙 ,防火 墙 会 产生 报警 等 。 下 面 , 根 据 不 同类 型 蠕虫 的 传播 和 破坏 方式 ,分 别 介绍 几 类 主 
要 的 蠕虫 及 系统 感染 该 类 蠕虫 后 的 表现 。 


1. 利用 系统 漏洞 进行 破坏 的 蠕虫 

此 类 蠕虫 主要 有 红色 代码 、 尼 姆 达 和 求职 信 等 ,它们 利用 Windows 操作 系统 中 正 浏 
览 器 的 漏洞 (Iframe Execcomand) , 当 通 过 Web 方式 接收 邮件 时 ,使 得 感染 了 “ 尼 姆 达 ” 病 
毒 的 邮件 ,即使 用 户 不 打开 它 的 附件 ,该 类 病毒 也 能 够 被 激活 ,进而 对 系统 进行 破坏 。 
“红色 代码 ” 则 是 利用 了 Windows 操作 系统 中 IIS 的 漏洞 (idq. dll 远程 缓存 区 溢出 ) 来 传 
播 。 而 “Sql 蠕虫 王 ? 是 利用 了 Microsoft 公司 的 SQL Server 数据 库 系统 的 漏洞 进行 大 肆 
攻击 。 

如 2003 年 8 月 11 日 开始 出 现 的 冲击 波 病毒 。 病 毒 运行 时 会 不 停 地 利用 IP 扫描 技术 

寻找 网 络 上 系统 为 Windows 2000 或 Windows XP 的 计算 机 ,找到 后 就 利用 DCOM RPC 组 
冲 区 漏洞 攻击 该 系统 ,一 旦 攻击 成 功 ,病毒 体 将 会 被 传送 到 对 方 计算 机 中 进行 感染 ,使 系统 
操作 异常 .频繁 重启 (如 图 6-1 所 示 ) ,甚至 导致 系统 崩溃。 另外 ,该 病毒 还 会 对 微软 的 一 个 
升级 网 站 进行 拒绝 服务 攻击 ,导致 该 网 站 堵塞 ,使 用 户 无 法 通过 该 网 站 升级 系统 。 
再 如 2004 年 5 月 1 日 出 现 的 “震荡 波 (Worm. Sasser)” 病 毒 。 震荡 波 病毒 主要 感染 
Windows 2000/XP/2003 等 操作 系统 的 计算 机 ,感染 震荡 波 病毒 的 系统 将 开启 上 百 个 线程 
去 攻击 其 他 网 上 的 用 户 ,可 造成 机 器 运行 缓慢 、 网 络 堵 塞 ,并 让 系统 不 停 地 进行 倒计时 重启 ， 
如 图 6-2 所 示 。 其 中 毒 现象 非常 类 似 于 “冲击 波 ”。 


离 关机 还 有 ; 00:00:18 离 关机 还 有 : 00:00:56 
一 一 一 消息 
ss ei 
i 
启动 
图 6-1 Windows 操作 系统 感染 冲击 波 图 6-2 Windows 操作 系统 感染 “震荡 波 ” 
病毒 后 显示 的 关机 界面 病毒 后 显示 的 关机 界面 


2. 通过 网 页 进行 触发 的 蠕虫 

蠕虫 的 编写 技术 与 传统 的 病毒 有 所 不 同 , 许 多 蠕虫 是 利用 当前 最 新 的 编程 语言 与 编程 
技术 来 编写 的 ,而 且 同 一 蠕虫 程序 易于 修改 ,从 而 产生 新 的 变种 ,以 逃避 反 病 毒 软 件 的 搜索 。 
现在 大 量 的 蠕虫 用 Java、ActiveX 和 VB Script 等 技术 ,多 潜伏 在 HTML 页 面 文件 里 , 当 打 
开 相 应 的 网 页 时 则 自动 触发 。 

3. 蠕虫 与 黑客 技术 相 结合 

现在 的 许多 蠕虫 不 仅仅 是 单独 对 系统 破坏 ,而 是 与 黑客 技术 相 结合 ,为 黑客 人 侵 提 供 必 
要 的 条 件 。 例 如 当 系 统 感染 “红色 代码 ”后 ,在 计算 机 的 Web 目录 的 \scripts 子 目 录 下 将 生 
成 一 个 root. exe, 利 用 该 文件 可 以 远程 执行 任何 命令 ,从 而 使 黑客 能 够 再 次 进入 。 

另外 , 像 “ 尼 姆 达 ”“ 求 职 信 ”等 蠕虫 可 通过 文件 .电子 邮件 、Web 服务 器 和 网 络 共享 等 
多 种 途径 进行 传播 。 表 6-1 列 出 了 一 些 主要 的 蠕虫 及 产生 的 损失 情况 。 


地 口 鞭 


计算 机 病毒 ,大 马 和 问 谋 徐 件 与 防治 


计算 机 网 络 安 会 投 太 


表 6-1 一 些 主要 蠕虫 及 产生 的 损失 情况 


蠕虫 名 称 发 作 时 间 造成 损失 
这 是 一 个 蠕虫 ， 全 i 至 机， 经 达 
黄 里 斯 蠕虫 “| 1988 年 这 是 世界 上 第 个 蠕虫 ,造成 6000 多 台 计 算 机 停机 ,直接 经 济 损失 达 
9600 万 美元 
政府 部 门 和 一 些 大 公司 紧急 关闭 了 网 络 服务 器 ,经 济 损失 超过 12 亿 
美丽 杀手 1999 年 美元 
爱 虫 病毒 2000 年 众多 用 户 计算 机 被 感染 .损失 超过 100 亿美 元 
i 利用 电子 邮件 ,IIS 和 网 上 邻居 等 多 种 途径 对 网 络 产生 阻塞 ,感染 主机 
尼 姆 达 2001 年 


在 800 万 台 以 上 ,造成 经 济 损失 6 亿 多 美元 
红色 代码 2001 年 7 月 | 网 络 瘫痪 ,直接 经 济 损失 超过 26 亿美 元 。 这 也 是 首 个 黑客 病毒 


求职 信 2001 年 12 月 | 大 量 病 毒 邮 件 堵塞 服务 器 ,损失 达 数 百 亿 美元 
SQL 问 由 王 | 2003 年 1 月 a2 ee i 26 亿 


首 个 利用 微软 公司 公布 的 系统 漏洞 发 动 恶性 攻击 的 蠕虫 ,利用 计算 机 
网 络 在 一 夜 之 间 造 成 1000 多 台 主 机 感染 ,直接 经 济 损失 100 亿美 元 
是 继 冲 击 波 后 ,利用 微软 公司 公布 的 系统 漏洞 发 动 恶性 攻击 的 另 一 个 
蠕虫 。 直 接 经 济 损失 与 冲击 波 发 作 时 基本 相当 


冲击 波 2003 年 


震荡 波 2004 年 


6.2.4 实验 操作 1 蠕虫 的 防治 方法 


如 果 说 病毒 的 清除 是 当务之急 ,那么 病毒 的 防治 则 是 居安思危 。 防 患 于 未 然 是 每 一 位 
网 络 管理 人 员 应 该 养 成 的 良好 习惯 。 本 小 节 将 具体 介绍 蠕虫 的 防治 方法 。 

1. 更 新 系统 补丁 

更 新 系统 补丁 的 目的 之 一 是 堵 住 系统 的 漏洞 。 前 面 介绍 的 SQL 蠕虫 王 .冲击 波 和 震荡 
波 病毒 都 是 利用 系统 存在 的 不 同 漏洞 来 入侵 并 发 作 的 ,所 以 及 时 更 新 补丁 对 于 防治 蠕虫 是 
非常 重要 的 。 

针对 Windows 操作 系统 的 漏洞 ,各 类 杀 病 毒 软件 一 般 都 提供 了 漏洞 扫描 功能 ,同时 也 
有 一 些 专门 的 漏洞 扫描 软件 。 但 是 ,最 有 效 和 方便 的 方法 是 利用 Windows 操作 系统 自 带 的 
Windows Update 补丁 管理 工具 来 为 系统 安装 补丁 程序 。 对 于 企业 用 户 , 可 以 部 署 WSUS 
补丁 更 新 服务 器 ,对 局 域 网 内 部 的 计算 机 统一 更 新 系统 补丁 。 

Windows Update 分 为 在 线 更 新 和 自动 更 新 两 种 方法 。 其 中 ,在 线 更 新 需要 将 安装 补 
丁 程序 的 计算 机 接 入 Internet', 在 IE 浏览 器 中 输入 Microsoft 公司 补丁 程序 网 站 的 地 址 
http://windowsupdate. microsoft. com ,或 在 IE 浏览 器 中 选择 "工具 ”一 windows update 命 
令 来 打开 在 线 更 新 功能 。 当 用 户 打开 在 线 更 新 功能 时 ,系统 本 身 会 把 自己 的 相关 信息 上 传 
给 补丁 程序 更 新 网 站 ,然后 网 站 根据 收 到 的 系统 信息 判断 系统 有 哪些 补丁 程序 还 没有 安装 ， 
并 且 将 结果 以 列表 的 形式 显示 出 来 ,如 图 6-3 所 示 。 用 户 可 以 在 该 列表 中 选择 要 安装 的 补 
丁 程序 。 

对 于 单位 的 网 络 管理 人 员 来 说 ,由 于 管理 的 机 器 较 多 ,可 能 会 忘记 给 每 一 台 机 器 及 时 地 
安装 补丁 程序 ,这 时 就 可 以 使 用 自动 更 新 功能 。Windows update 自动 更 新 功能 的 使 用 方法 
为 : 选择 “开始 ”一 "设置 ”控制 面板 ”自动 更 新 ”命令 ,在 打开 的 如 图 6-4 所 示 的 对 话 
框 中 进行 配置 ,其 中 需要 选择 “自动 (推荐 )? 单 选 按钮 ,然后 在 下 方 的 下 拉 列 表 中 选择 自动 更 


澡 Microsoft windows Update - Microsoft Internet Explorer 
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更 疏 设置 Windows 2000 安全 更 新 程序 (KB917159) 
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Windows Malicious Software Removal Tool - 2006 年 7 月 (KB890830) 
获得 帮助 和 支持 

Windows 2000 安全 更 新 程序 (KB911280) 
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Windows Update 隐私 声明 
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图 6-3 Windows Update 更 新 列表 


新 的 时 间 。 一 般 建 议 系统 每 天 都 要 进行 更 新 ,但 更 新 的 时 间 可 以 放 在 机 器 和 网 络 都 比较 空 
闲 的 时 候 ,如 夜里 1:00。 这 样 , 系 统 会 在 用 户 指定 的 时 间 自 动 到 Windows Update 网 站 下 载 
并 安装 最 新 的 补丁 程序 。 


EE 
| 


0 才 助 
De a edmT 
自动 更 新 如 何 工作 ? 
人 自动 推荐 ) 0D 

自动 下 载 推荐 的 更 新 ,并 安装 它们 : 

Em 5 
个 下 载 更 新 ， 但 是 由 我 来 决定 什么 时 候 安装 四)。 
个 有 可 用 下 载 时 通知 我 ， 但 是 不 要 自动 下 载 或 安装 更 新 中。 


个 关闭 自动 更 新 [)。 
如 果 您 不 定期 安装 更 新 ， 您 的 计算 机 格 变 得 易 受 攻击 . 


图 6-4 Windows update 的 自动 更 新 配置 对 话 框 


除 自动 更 新 之 外 ,系统 还 提供 了 “下 载 更 新 ”和 * 下 载 通知 ?两 个 功能 。 如 图 6-4 所 示 ,如 
果 选 择 了 “下 载 更 新 ,但 是 由 我 来 决定 什么 时 候 安 装 ” 单 选 按钮 ,系统 会 随时 到 Windows 
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Update 网 站 下 载 补丁 程序 ,之 后 会 提示 用 户 是 否 要 安装 该 补丁 程序 ; 当选 择 了 “有 可 用 下 
载 时 通知 我 ,但 是 不 要 自动 下 载 或 安装 更 新 ” 单 选 按钮 时 ,如 果 Windows Update 网 站 有 新 
的 补丁 发 布 ,系统 会 提示 用 户 来 下 载 并 安装 该 补丁 程序 ,如 图 6-5 所 示 。 用 户 可 以 选择 “ 快 
速 安装 (推荐 )" 单 选 按钮 来 安装 所 有 的 补丁 程序 ,也 可 以 选择 “ 自 定义 安装 (高 级 )" 单 选 按钮 
来 选择 安装 部 分 补丁 程序 。 


自动 更 新 E x| 


起 和 您 起 怎 样 安装 更 新 ? 
Windows 找到 13 个 更 新 。 


人 快速 安装 推荐 ) @) 
轻松 安装 对 您 的 计算 机 适用 的 更 新 。 这 格 保证 您 的 计算 机 有 最 新 的 软件 。 


图 6-5 “自动 更 新 "操作 对 话 框 


2. 加 强 对 系统 账户 名 称 及 密码 的 管理 

现在 的 一 些 蠕 虫 已 经 具备 了 黑客 程序 的 一 些 功 能 ,有 些 蠕虫 会 通过 暴力 破解 的 方法 来 
获得 系统 管理 员 的 账户 名 称 和 密码 ,从 而 以 系统 管理 员 的 身份 来 人 侵 系统 ,并 对 其 进行 破 
坏 。 为 此 ,必须 加 强 对 系统 管理 员 账 户 及 密码 的 管理 。 

Windows 2000/XP/2003 默认 的 系统 管理 员 账 户 名 称 为 Administrator, 为 了 防止 蠕虫 
轻而易举 地 获得 该 账户 名 称 ,建议 用 户 将 Administrator 进行 更 名 (如 Admin-jsnj) ,如 图 6-6 
所 示 。 
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图 6-6 对 Administrator 进行 重 命令 操作 


为 了 加 强 系统 的 安全 性 , Windows Server 2003 对 账户 密码 设置 进行 了 严格 要 求 ,但 
Windows XP 和 Windows 2000 并 不 具备 此 功能 。 为 此 ,对 于 Windows XP 和 Windows 2000 来 
说 ,必须 加 强 对 账户 密码 的 管理 。 对 于 密码 的 设置 .建议 使 用 “四 纬 空间 ”规则 ,“ 四 纬 空间 ” 
分 别 为 小 写字 母 . 大 写字 母 ,数字 和 特殊 字符 (如 &&、/ 等 )4 类 符号 , 即 每 个 账户 的 密码 中 应 
同时 包括 这 4 类 符号 ,同时 密码 的 长 度 应 在 8 位 以 上 。 

据 相 关 数 字 统 计 , 一 个 密码 前 6 位 的 安全 性 是 非常 重要 的 。 为 此 ,建议 用 户 在 设置 密码 
尤其 是 系统 管理 员 账 户 的 密码 时 ,其 前 6 位 一 定 要 使 用 “四 纬 空间 ”规则 。 

另外 ,如 果 没 有 特殊 要 求 ,建议 不 要 在 系统 中 创建 太 多 的 账户 ,尤其 是 与 Administrator 
具有 相同 权限 的 管理 员 账 户 。 对 于 Guest 账户 ,在 不 需要 的 时 候 可 将 其 停 用 或 直接 删除 。 
但 是 ,在 有 些 时 候 Guest 账户 是 不 能 停 用 的 ,如 设置 了 文件 共享 时 ,就 需要 用 户 Guest, 否则 
其 他 用 户 将 无 法 访问 该 共享 文件 。 

对 于 Administrator 和 Guest 账户 , 除 设置 较为 复杂 的 密码 外 ,还 有 一 个 方法 能 够 让 
Administrator 和 Guest 调换 其 身份 。 具 体 方法 是 选择 “开始 ”一 "运行 ”命令 ,在 打开 的 对 话 
框 中 输入 gpedit. msc。 单 击 “ 确 定 ” 按 钮 后 ,在 打开 的 “组 策略 ”窗口 中 选择 “Windows 设置 ” 
一 “本 地 策略 ”>“ 安 全 选项 ”, 在 右 侧 窗口 中 将 会 显示 “ 重 命名 来 宾 账 户 ” 和 *“ 重 命名 系统 管理 
员 账 户 ” 两 项 ,如 图 6-7 所 示 。 
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图 6-7 组 策略 设置 窗口 


利用 这 两 个 策略 ,用 户 可 以 把 系统 管理 员 Administrator 的 账户 名 称 更 改 为 Guest, 而 
将 来 宾 账 户 Guest 的 名 称 更 改 为 Administrator。 通 过 这 样 的 设置 ,就 会 给 蠕虫 设置 一 个 陷 
阱 ,即使 有 蠕虫 获得 了 Administrator 的 密码 , 当 其 入 侵 系统 后 也 只 能 从 事 来 宾 账户 的 操作 ， 
对 系统 产生 的 危害 相应 要 小 一 些 。 

3. 取消 共享 连接 

文件 和 文件 夹 共 享 及 IPC( Internet Process Connection) 连 接 是 蠕虫 常 使 用 的 人 侵 途 
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径 。 所 以 ,为 了 防止 蠕虫 入 侵 , 建 议 关闭 不 需要 的 共享 文件 或 文件 夹 及 IPC, 如 图 6-8 所 示 。 


EEC IE 


图 6-8 显示 已 存在 的 共享 设置 


具体 方法 是 : 选择 “开始 ”一 运行 ”命令 ,在 打开 的 对 话 框 中 输入 services. msc 命令 , 单 
击 “ 确 定 ” 按 钮 ,打开 “服务 "窗口 。 在 该 窗口 中 找到 Server 服务 , 单 击 鼠标 右键 ,在 弹出 的 快 
捷 菜 单 中 选择 “停止 "命令 ,将 打开 如 图 6-9 所 示 的 对 话 框 。 单 击 “ 是 ”按钮 ,将 关闭 所 有 的 共 
享 服务 ,这 样 原来 在 图 6-8 中 所 示 的 共享 连接 将 无 法 使 用 。 


上 | 换 作 查看 W || + 小 | 向 | 四 | 办 加 加 | 久 || >》 


图 6-9 停止 Server 服务 


在 局 域 网 中 如 果 确 实 要 通过 共享 来 访问 某 些 资源 ,这 时 可 以 通过 设置 访问 者 及 其 权限 
来 增强 共享 安全 性 。 以 soft 文件 夹 为 例 ,方法 是 : 在 “soft 属性 ”对 话 框 中 选择 “共享 "选项 
卡 ( 如 图 6-10 所 示 ), 单 击 “ 权 限 ” 按 钮 ,将 打开 如 图 6-11 所 示 的 “soft 的 权限 ”对 话 框 。 其 中 ， 
系统 默认 是 每 一 个 用 户 (Everyone) 都 能 够 访问 该 共享 资源 ,而 且 访 问 权 限 是 “完全 控制 ”。 
为 了 加 强 共享 的 安全 性 ,可 以 将 Everyone 账户 删除 ,然后 单 击 “ 添 加 ”按钮 ,添加 允许 访问 该 
共享 资源 的 用 户 名 ,同时 可 以 根据 用 户 实际 需求 来 设置 相应 的 权限 。 例 如 ,只 需要 通过 网 络 


访问 该 共享 文件 夹 下 的 文件 时 ,可 以 将 权限 设置 为 * 读 取 ” 即 可 。 
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图 6-10 设置 文件 夹 的 共享 属性 图 6-11 设置 访问 者 的 账户 名 称 和 权限 


另外 ,由 于 一 些 蠕虫 直接 利用 脚本 语言 来 编写 ,所 以 为 了 避免 蠕虫 的 入 侵 ,可 以 删除 基 
于 窗口 和 命令 行 的 两 个 脚本 解释 器 WScript. exe 和 CScript. exe, 这 部 分 内 容 将 在 6. 3 节 进 
行 介绍 。 同 时 ,为 了 防止 蠕虫 通过 IE 浏览 器 入 侵 用 户 的 系统 ,可 以 在 IE 安全 设置 中 将 
ActiveX 控件 和 Java 脚本 删除 。 还 有 , 像 冲击 波 和 震荡 波 等 利用 端口 进行 人 侵 和 传播 的 里 
虫 ,可 以 在 防火 墙 上 关闭 其 端口 ,如 TCP 135、TCP 4444、UDP 69、TCP 5554、TCP 445 和 
TCP 9996 等 。 


6.3 脚本 病毒 的 清除 和 防治 方法 


脚本 (Script) 是 使 用 一 种 特定 的 描述 性 语言 ,依据 一 定 的 格式 编写 的 可 执行 文件 ,又 称 
作 宏 或 批 处 理 文件 。 脚 本 通常 可 以 由 应 用 程序 临时 调用 并 执行 。 因 为 脚本 不 仅 可 以 减 小 网 
页 的 规模 和 提高 网 页 浏览 速度 ,而 且 可 以 丰富 网 页 的 表现 (如 动画 、 声 音 等 ), 所 以 各 类 脚本 
目前 被 广泛 地 应 用 于 网 页 设计 中 。 也 正 因为 脚本 的 这 些 特 点 ,所 以 往往 被 一 些 别有用心 的 
人 所 利用 。 例 如 在 脚本 中 加 入 一 些 破坏 计算 机 系统 的 命令 或 直接 植 人 木马 等 ,这 样 当 用 户 
浏览 网 页 时 ,一 旦 调用 这 类 脚本 , 便 会 使 用 户 的 系统 受到 攻击 。 本 节 将 介绍 脚本 病毒 的 特征 
和 防治 方法 。 


6.3.1 脚本 的 特征 


脚本 语言 能 够 霸 入 到 HTML 文件 中 ,同时 具有 解释 执行 功能 。 根 据 脚 本 语言 的 工作 
原理 ,可 以 将 其 分 为 两 大 类 : 服务 器 端 脚本 和 客户 端 脚本 。 

(1) 服务 器 端 脚本 。 是 指 由 Web 服务 器 负责 解释 执行 的 脚本 ,客户 端的 浏览 器 只 需要 
显示 服务 器 端的 执行 结果 。ASP、PHP 和 JSP 是 常用 的 服务 器 端 脚本 语言 。 

(2) 客户 端 脚本 。 是 指 由 浏览 器 负责 解释 执行 的 脚本 。 常 见 的 客户 端 脚本 语言 有 
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Visual Basic Script(VBS) 语 言 和 Java Script(JS) 语 言 。 

Visual Basic Script 语言 是 在 Microsoft Visual Basic 语言 的 基础 之 上 开发 的 ,能 够 嵌入 
HTML 中 的 脚本 语言 ,其 特点 是 易学 易 用 ; 而 Java Script 是 一 种 基于 对 象 (Object) 和 事件 
驱动 (Event Driven) 的 ,并 具有 安全 性 能 的 脚本 语言 。Java Script 主要 用 于 HTML 页 面 ， 
其 源码 可 直接 嵌入 到 HTML 中 。 用 Java Script 编写 的 程序 不 必 在 运行 前 编译 , 它 可 以 直 
接 写 人 Web 页 面 中 ,并 由 调用 它 的 浏览 器 来 解释 执行 ,以 提高 客户 端的 响应 时 间 。 

正 是 由 于 脚本 语言 具有 以 上 的 特征 ,所 以 现在 大 量 的 Web 页 面 都 舱 和 信 了 脚本 语言 , 同 
时 越 来 越 多 的 网 络 应 用 使 用 脚本 语言 来 编写 。 也 正 是 如 此 ,一 些 别有用心 的 用 户 便 使 用 脚 
本 语言 来 编辑 病毒 程序 ( 即 脚本 病毒 ) .并 通过 网 络 进行 传播 。 


6.3.2 脚本 病毒 的 将 征 


脚本 病毒 主要 是 由 Visual Basic Script 语言 和 Java Script 语言 来 编写 的 计算 机 病毒 ， 
可 以 直接 添加 到 同类 的 程序 代码 (如 HTML) 中 ,通过 调用 Windows 组 件 或 对 象 ,直接 对 注 
册 表 文件 系统 进行 操作 。 

脚本 病毒 的 传播 途径 比较 多 ,由 于 Visual Basic Script 和 Java Script 编写 的 代码 可 以 
直接 插入 到 HTML 文件 中 ,同时 浏览 器 也 直接 支持 对 这 两 种 语言 所 编写 代码 的 解释 ,所 以 
脚本 病毒 多 通过 Web 页 面 进 行 传播 :也 可 以 经 常 插入 到 电子 邮件 的 附件 或 通过 局 域 网 的 共 
享 设置 来 传播 。 总 的 来 说 ,脚本 病毒 具有 以 下 特点 。 

(1) 编写 简单 。 即 使 一 个 以 前 对 病毒 一 | 
无 所 知 的 用 户 , 只 要 略 懂 HTML、Visual Basic | 文 # 四 六 各 E) 查看 WJ) 收藏 W 工具 天 有 押 > 剧 
Script 和 Java Script 语言 的 编写 方法 ,就 可 以 | 外 日 国 因 多 有 控 站 ex ” 
在 很 短 的 时 间 里 编写 出 一 个 新 型 病毒 来 。 例 | 居 c oments ad settineswaes 回 园 和 认证” 
如 ,下 面 就 是 一 段 通过 使 用 脚本 语言 显示 当前 | 全 i 
时 间 的 代码 。 用 户 只 需要 使 用 任何 一 个 文本 “|‖ ?008 年 月 2 日 星期 六 
编辑 器 来 输入 这 段 代 码 , 并 保存 为 以 HTML 
为 扩展 名 的 文件 , 当 利用 浏览 器 打开 时 就 会 直 
接 执行 ,结果 如 图 6-12 所 示 。 图 6-12 ”一 个 显示 当时 时 间 的 脚本 


< 一 tr 二 一 TD width = 210 align = "center"><font color = "#0000FF"> 
SCRIPT language = JavaScript> 

today = new Date(); 

function initarray(){ 

this. length = initarray. arguments. length 

for(var i=0;i<~this. length;i++ ) 

this[i+1]= initarray.arguments[i] } 

var d= new initarray( 


"星期 日 " 


" 星期 一 "， 
"星期二"， 
" 星期 三 "， 


" 星期 四 "， 


"星期五"， 

”星期 六 "); 

document. write( 

today. getYear(), "年 "， 
today. getMonth() +1, "月 "， 
today. getDate()，" 日 "， 
d[today. getDay() +1]); 

< /SCRIPT> 
</font></ID></tr> 


(2) 破坏 力 大 。 脚 本 病毒 的 破坏 力 不 仅 表现 在 对 用 户 系统 文件 的 破坏 ,还 可 以 使 邮件 
服务 器 崩溃 ,网 络 发 生 严重 阻塞 。 

(3) 感染 力 强 。 由 于 脚本 是 直接 解释 执行 ,同时 它 不 像 其 他 病毒 那样 需要 做 复杂 的 文 
件 格式 处 理 , 因 此 脚本 病毒 可 以 直接 通过 自我 复制 的 方式 感染 其 他 同类 文件 。 

(4) 病毒 源 代码 容易 被 获取 , 且 变 种 较 多 。 由 于 VBS(Visual Basic Script) 和 JS(Java 
Script) 病 毒 直接 解释 执行 ,其 源 代码 的 可 读 性 非常 强 , 即 使 病毒 源 代码 经 过 加 密 处 理 , 其 源 
代码 的 获取 还 是 比较 简单 。 因 此 ,这 类 病毒 变种 比较 多 ,稍微 改变 一 下 病毒 的 结构 ,或 者 修 
改 一 下 特征 值 , 就 会 使 很 多 杀毒 软件 一 时 无 法 发 现 它 。 

(5) 欺骗 性 强 。 脚 本 病毒 为 了 能 够 迷惑 用 户 得 以 运行 ,往往 会 对 自己 进行 必要 的 
伪装 。 例 如 ,有 些 插 入 到 电子 邮件 附件 中 的 脚本 病毒 , 它 会 使 用 . jpg. vbs 的 后 级 。 由 
于 Windows 操作 系统 在 默认 情况 下 不 会 显示 后 级 ,这 样 用 户 看 到 的 将 是 一 个 jpg 图 片 
文件 。 

正 因为 以 上 几 个 特点 ,脚本 病毒 的 发 展 异常 迅速 ,许多 新 型 脚本 病毒 层出不穷 。 


6.3.3 实验 操作 2 脚本 病毒 的 防治 方法 


脚本 病毒 一 般 通过 电子 邮件 的 附件 ,局 域 网 共享 和 HTML.、ASP、JSP.PHP 网 页 等 方 
式 传播 。 在 传播 过 程 中 ,脚本 病毒 存在 以 下 特点 。 

(1) 运行 时 需要 FileSystemObject( 文 件 系统 对 象 ) 的 支持 。 

(2) 运行 时 需要 通过 Windows 脚本 宿主 (Windows Scripting Host, WSH) 来 解释 
执行 。 

(3) 运行 时 需要 其 关联 程序 文件 WScript. exe 的 支持 。 

(4) 当 通 过 网 页 传播 时 需要 ActiveX 控件 的 支持 。 

(5) 当 通 过 电子 邮件 传播 时 需要 Outlook 的 支持 。 

在 掌握 了 以 上 脚本 病毒 的 传播 途径 后 ,下 面 介绍 几 类 脚本 病毒 的 防治 方法 。 

1. 网 页 脚本 病毒 的 防治 

根据 微软 公司 权威 软件 开发 指南 MSDN (Microsoft Developer Network ) 的 定义 ， 
ActiveX 控件 以 前 也 叫做 OLE 控件 或 OCX 控件 , 它 是 一 些 软件 组 件 或 对 象 ,可 以 将 其 插入 
到 Web 网 页 或 其 他 应 用 程序 中 。 

在 因特网 上 ,ActiveX 控件 软件 的 特点 是 : 一 般 软件 需要 用 户 单独 在 操作 系统 上 进行 安 
装 ,而 ActiveX 控件 是 当 用 户 浏 览 到 特定 的 网 页 时 ,IE 浏览 器 即 可 自动 下 载 并 提示 用 户 安 
装 。ActiveX 控件 安装 的 一 个 前 提 是 必须 经 过 用 户 的 同意 或 确认 ,如 图 6-13 所 示 。 


计算 机 闹 李 ,大 马 和 间谍 掏 件 与 防治 


击 品 恰 


计算 机 网 络 安 会 技术 


让 要 下 列 ActiveX 控件 : 来 自 “Beijing 3721 Technelegy Co.，Ltd ”的 “中 文 上 网 升级 包 ， 升级 电脑 的 中 文 接 索 功能 ， 并 必 助 您 屏蔽 恶意 网 站 、 修 复 IE、 拦 截 ”X 
( 坊 .……， 单 击 此 处 安装 


图 6-13 系统 提示 是 否 安装 ActiveX 控件 


ActiveX 插件 技术 是 国际 上 通用 的 基于 Windows 平台 的 软件 技术 ,除了 网 络 实名 插件 
之 外 ,许多 软件 均 采 用 此 种 方式 开发 ,例如 Flash 动画 播放 插件 .Microsoft Media Player 插 
件 等 。 

当 通 过 Internet 发 行 软件 时 ,软件 的 安全 性 是 一 个 非常 引 人 关 注 的 问题 ,IE 浏览 器 通 
过 以 下 方式 来 保证 ActiveX 插件 的 安全 。 

(1) ActiveX 使 用 了 两 个 补充 性 的 策略 : 安全 级 别 和 证 明 , 来 追求 进一步 的 软件 安 
全 性 。 

(2) Microsoft 公司 提供 了 一 套 工具 ,可 以 用 来 增加 ActiveX 对 象 的 安全 性 。 

(3) 通过 Microsoft 公司 的 验证 代码 工具 ,可 以 对 ActiveX 控件 进行 签名 ,这 告诉 用 户 
你 的 确 是 控件 的 作者 而 且 没 有 他 人 算 改 过 这 个 控件 。 

(4) 为 了 使 用 验证 代码 工具 对 组 件 进行 签名 ,必须 从 证 书 授权 机 构 获 得 一 个 数字 证 书 。 
证 书包 含 表 明 特 定 软 件 程序 是 正版 的 信息 ,这 确保 了 其 他 程序 不 能 再 使 用 原 程序 的 标识 。 
证 书 还 记录 了 颁发 日 期 。 当 用 户 试 图 下 载 软件 时 ,IE 浏览 器 会 验证 证 书 中 的 信息 ,以 及 当 
前 日 期 是 否 在 证 书 的 截止 日 期 之 前 。 如 果 在 下 载 时 该 信息 不 是 最 新 的 和 有 效 的 ,IE 浏览 器 
将 显示 一 个 警告 。 

(5) 在 IE 浏览 器 默认 的 安全 级 别 中 ,AcetiveX 控件 安装 之 前 ,用 户 可 以 根据 自己 对 软件 
发 行商 和 软件 本 身 的 信任 程度 ,选择 决定 是 否 继续 安装 和 运行 此 软件 (如 图 6-13 所 示 )。 
网 络 实名 插件 使 用 了 国际 权威 安全 厂商 Verisign 所 颁发 的 数字 证 书 进行 签名 ,因此 可 
以 确保 网 络 实名 插件 的 真实 性 和 安全 性 。 
网 络 实名 插件 通过 微软 公司 ActiveX 技术 来 进行 安装 , 单 击 弹 出 窗口 中 的 “详细 信息 ” 
按钮 后 ,微软 公司 已 经 告诉 用 户 应 该 了 解 的 信息 (包括 数字 证 书 的 发 行商 有效期 和 所 有 者 
等 ) ,并 根据 用 户 单 击 “ 是 ”或 “ 否 "按钮 来 决定 是 否 安装 插件 。 网 络 实名 插件 安装 时 的 弹出 窗 
口 是 ActiveX 标准 的 安装 界面 ,是 由 Windows 控制 的 ,只 能 通过 单 击 上 面 的 链接 来 查看 软 
件 详细 介绍 和 使 用 许可 协议 等 信息 。 

从 组 成 来 看 ,ActiveX 既 包含 服务 器 端 技术 ,也 包含 客户 端 技 术 。 其 主要 内 容 如 下 。 

(1) ActiveX 控制 (ActiveX Control)。 用 于 向 Web 页 面 Microsoft Word 等 支持 
ActiveX 的 容器 (Container) 中 插入 COM 对象 。 

(2) ActiveX 文档 (ActiveX Document) 。 用 于 在 Web 浏览 器 (主要 是 IE 浏览 器 ) 或 者 
其 他 支持 ActiveX 的 容器 中 浏览 复合 文档 ( 非 HTML 文档 ) ,例如 Microsoft Word 文档 、 
Microsoft Excel 文档 或 者 用 户 自 定义 的 文档 等 。 

(3) ActiveX 脚本 描述 (ActiveX Scripting)。 用 于 从 客户 端 或 者 服务 器 端 操纵 ActiveX 
控制 和 Java 程序 ,传递 数据 ,协调 它们 之 间 的 操作 。 

(4) ActiveX 服务 器 框架 (ActiveX Server Framework) 。 提 供 了 一 系列 针对 Web 服务 
器 应 用 程序 设计 各 个 方面 的 函数 及 其 封装 类 ,例如 服务 器 过 滤器 .HTML 数据 流 控制 等 。 

在 IE 中 内 置 了 Java 虚拟 机 (Java Virtual Machine) ,从 而 使 Java Applet 能 够 在 IE 上 


运行 ,并 可 以 与 ActiveX 控制 通过 脚本 描述 语言 进行 通信 。 

从 上 面 ActiveX 的 工作 原理 可 以 看 出 ,网 页 脚本 病毒 与 ActiveX 控件 之 间 存 在 着 一 种 
依赖 关系 ,如 果 用 户 在 技术 上 保证 了 ActiveX 的 安全 ,也 就 保证 了 网 页 的 安 人 全。 其实, 用户 
只 需要 对 IE 自 带 的 安全 属性 进行 必要 的 配置 就 可 以 阻止 网 页 脚本 病毒 的 侵扰 。 具 体 配 置 
方法 为 : 在 桌面 上 选取 Internet Explorer, 单 击 鼠 标 右键 ,在 弹出 的 快捷 菜单 中 选择 “属性 ” 
命令 ,将 打开 如 图 6-14 所 示 的 “Internet 属性 ?对 话 框 。 单 击 * 自 定义 级 别 ?按钮 ,在 打开 的 如 
图 6-15 所 示 的 “安全 设置 ?对 话 框 中 设置 ActiveX 控件 和 插件 的 属性 。 从 安全 方面 考虑 ,对 
不 安全 的 控件 和 插件 全 部 设置 为 “禁用 ”, 同 时 将 “安全 级 ”设置 为 “高 ”。 

4| 


常规 ”安全 | 隐私 | 内 容 | 连接 | 程序 | 高 级 | 
请 为 不 同 区 域 的 Web 内 容 指定 安全 设置 区) 


Es 2 


图 AhetiveX 控件 和 插件 
图 hetivex 控件 自动 提示 
〇 禁用 


启用 
图 对 标记 为 可 安全 执行 脚本 的 ActiveX 控件 执行 脚 = 
@ 企 用 


〇 局 用 

”0 括 

图 对 没有 标记 为 安全 的 ActiveX 控件 进行 初始 化 和 此 
@ 禁用 


确定 职 消 应 用 硬 | | 


图 6-14 “Internet 属性 ?对 话 框 图 6-15 设置 ActiveX 控件 和 插件 


如 果 将 下 载 ActiveX 控件 和 插件 的 功能 全 部 设置 为 “禁用 ”, 这 样 即使 浏览 了 带 有 脚本 
病毒 的 网 页 ,但 由 于 IE 无 法 解析 和 执行 这 些 ActiveX 控件 ,这 样 病毒 将 找 不 到 执行 自身 的 
程序 ,从 而 避免 了 脚本 病毒 人 侵 网 页 。 

需要 注意 的 是 ,如 果 禁 用 了 ActiveX 控件 ,这 时 当 用 户 浏览 带 有 ActiveX 控件 的 网 站 
时 ,将 无 法 查看 和 使 用 一 些 脚本 语言 实现 的 特效 。 这 时 ,就 需要 在 应 用 功能 与 安全 之 间 进 行 
必要 的 选择 。 

2. 局 域 网 中 脚本 病毒 的 防治 

大 多 数 单位 组 建 局 域 网 的 主要 目的 是 实现 资源 共享 ,而 局 域 网 中 的 资源 共享 是 大 多 数 
脚本 病毒 传输 的 首选 途径 。 同 时 ,局 域 网 中 的 脚本 病毒 很 难 完全 清除 ,只 要 有 一 台 计算 机 未 
彻底 地 清除 病毒 ,就 会 使 局 域 网 中 的 清除 病毒 工作 前 功 尽 弃 , 当 这 台 未 清除 病毒 的 计算 机 接 
入 局 域 网 后 ,病毒 就 会 利用 网 络 很 快 传播 开 来 。 

局 域 网 中 脚本 病毒 人 侵 的 方法 很 简单 ,脚本 病毒 主要 是 利用 共享 资源 的 “可 写 " 属 性 ,来 
将 病毒 文件 放 入 共享 文件 夹 ,或 添加 到 共享 文件 夹 中 的 文件 中 。 所 以 ,在 局 域 网 中 预防 脚本 
病毒 的 方法 主要 是 取消 对 共享 资源 的 “可 写 " 属 性 ,而 将 其 修改 为 “只 读 ”, 如 图 6-16 所 示 。 

另外 ,在 局 域 网 中 传播 的 许多 脚本 病毒 会 将 自己 伪装 成 为 脚本 文件 ,例如 病毒 文件 


计算 机 病毒 ,大 马 和 间谍 徐 件 与 防治 


震中 恰 


计算 机 网 络 安 会 技术 


love. jpg 文件 在 传播 之 前 为 了 避 开 杀 病 毒 软件 的 扫描 , 便 将 其 修改 为 双 扩 展 名 的 文件 love. 
jpg. vbs, 而 脚本 文件 * .vbs 系统 默认 是 隐藏 起 来 的 ,这 样 脚本 病毒 也 就 * 骗 过 ”了 用 户 的 检 
查 。 为 此 ,在 手工 清除 这 类 双 扩 展 名 的 脚本 病毒 文件 时 ,首先 要 取消 系统 默认 的 隐藏 扩展 名 
的 设置 。 具 体操 作 方 法 为 : 在 打开 的 文件 夹 中 ,选择 “工具 ”文件 夹 选项 ”一 “查看 ”命令 ， 
在 打开 的 如 图 6-17 所 示 的 “文件 夹 选项 ”对 话 框 中 ,取消 对 “隐藏 已 知 文件 类 型 的 扩展 名 ” 复 
选 框 的 选取 ,然后 单 击 “ 确 定 ” 按 钮 即 可 。 


下 xl 
i] 常规 ”查看 | 文件 类 型 | 陪 机 文件 | 
第 珊 | 共享 | 自 定义 | 文件 到 视图 
站 mr ee 
rr Rex | 
类 型 文件 赤 
位 置 : PN 高 大 设置 


大 小 : 3.11 GB (3, 341 152,601 字 节 ) @ 作为 单一 文件 显示 和 管理 对 


记 住 每 个 文件 夫 的 视图 设置 
占用 空间 : 。 3.11 6B (3, 345, 481, 728 字 节 ) Ee 
包含: 911 个 文件 ，92 个 文件 来 回 显示 系统 文件 的 内 容 
回 隐 意 受 保护 的 操作 系统 文件 推荐 ) 
E i 已 了 车 文件 和 文件 
创 胖 时 间 : 。 2003 年 2 月 10 日 ，14;00;05 OQ 不 旺 示 隐 车 的 文件 和 文件 夫 
@ 显示 所 有 文件 和 文件 到 

黑 性 : ty 

厂 隐 霹 QD 图 用 彩色 旺 示 加 人 或 压缩 的 TFS 文件 

厂 存档 加 ) RR 在 标题 栏 显示 完整 路 径 过 

还 原 为 默认 值 中) 


图 6-16 将 共享 资源 的 属性 设置 为 "只 读 ” 图 6-17 取消 对 “隐藏 已 知 文件 类 型 的 
扩展 名 ” 复 选 框 的 选取 


由 于 脚本 病毒 在 局 域 网 中 会 利用 邮件 附件 进行 传播 ,所 以 在 局 域 网 中 使 用 邮件 系统 时 ,对 
于 来 路 不 明 的 邮件 ,建议 不 要 随意 打开 其 附件 ,否则 会 导致 脚本 病毒 人 侵 并 破坏 用 户 的 计算 机 
系统 。 对 于 局 域 网 用 户 来 说 ,一 个 良好 的 习惯 是 在 打开 邮件 的 附件 之 前 ,首先 将 附件 下 载 到 指 
定 的 磁盘 上 ,然后 再 利用 杀 病 毒 软件 对 其 进行 查 毒 操作 ,在 确认 附件 没有 感染 病毒 后 再 打开 。 

目前 在 市 面 上 销售 的 杀 病 毒 软件 ,只 要 用 户 能 够 及 时 更 新 病毒 库 ,一般 都 能 够 清除 各 类 
脚本 病毒 (同时 也 包括 其 他 的 计算 机 病毒 ) 。 


6.3.4 实验 操作 3 通过 管理 WSH 来 防治 脚本 病毒 


WSH(Windows Scripting Host, Windows 脚本 宿主 ) 是 内 骨 于 Windows 操作 系统 中 
的 脚本 语言 工作 环境 , 它 使 Windows 操作 系统 具备 了 更 为 强大 的 功能 ,并 方便 了 用 户 对 系 
统 的 使 用 。 

1. 认识 WSH 

WSH 这 个 概念 最 早出 现 于 Windows 98 操作 系统 。 早 期 ,在 Windows 95 和 DOS 操作 
系统 下 ,为 了 方便 用 户 使 用 、 有 效 地 简化 工作 ,多 使 用 批 处 理 命令 (如 DOS 操作 系统 下 的 
autoexec. bat 文件 ) 。 其 实 , 批 处 理 命令 有 点 类 似 于 脚本 语言 ,所 以 有 时 也 将 批 处 理 命令 看 
作 是 “一 种 特殊 的 在 Windows 98 之 前 的 操作 系统 中 支持 的 脚本 语言 ”。 随 着 Windows 98 


操作 系统 的 问世 ,同时 随 着 各 种 真正 的 脚本 语言 的 不 断 出 现 , 批 处 理 命令 的 缺陷 越 来 越 明 
显 。 为 此 ,微软 公司 在 研发 Windows 98 操作 系统 时 ,为 了 实现 多 类 脚本 文件 在 Windows 
界面 或 DOS 命令 提示 符 下 的 直接 运行 ,就 在 系统 内 植 人 了 一 个 基于 32 位 Windows 平台 、 
并 独立 于 语言 的 脚本 运行 环境 ,并 将 其 命名 为 Windows Scripting Host。WSH 架构 于 
ActiveX 之 上 ,通过 充当 ActiveX 的 脚本 引擎 控制 器 ,为 Windows 用 户 充分 利用 脚本 指令 
语言 提供 了 保障 。 

更 具体 地 讲 , 当 用 户 编写 了 一 个 脚本 文件 (后 缀 为 . vbs 或 . js) 后 ,在 Windows 下 双击 并 
执行 ,这 时 系统 就 会 自动 调用 一 个 适当 的 程序 来 对 它 进行 解释 并 执行 ,而 这 个 程序 就 是 
Windows Scripting Host, 程序 执行 文件 名 为 位 于 % winroot/system32 文件 夹 下 的 
Wscript. exe (如 果 在 命令 提示 符 下 , 则 为 Cscript. exe) 文 件 ,如 图 6-18 所 示 。 其 中 
%winroot 为 Windows 的 安装 文件 夹 。 

图 搜索 结果 于 
文件 编辑) 查看 WW) 收藏 和 工具 CD) 帮助 中 


FE -VO :FP DH | XH 
地 址 四 [ 问 搜索 结果 


按 下 面 任意 或 所 有 条 | 
件 进行 搜索 国 


图 6-18 位 于 %winroot/system32 文件 夹 下 的 Wscript. exe 文件 


2. WSH 内 置 的 对 象 及 功能 
WSH 发 展 到 现在 , 其 功能 已 经 十 分 强大 ,现在 可 以 利 [wserpt ] 
用 脚本 来 完成 许多 操作 ,如 网 络 驱动 器 的 映射 .环境 变量 的 。 上 wshAramen] 


修改 和 注册 表 项 的 处 理 等 。 另外 ,管理 员 还 可 以 使 用 WSH [六 WshNamed 
来 编写 脚本 实现 对 Windows Server 2000 或 Windows Server [WshUnnamed | 
2003 活动 目录 的 管理 。 以 上 功能 的 实现 ,都 是 WSH 内 置 的 ET 
14 个 对 象 (如 图 6-19 所 示 ) 来 直接 处 理 脚 本 指令 。 具 体 功能 | 
如 下 。 
。 Wscript: 主要 作用 是 提取 命令 行 变 量 ,确定 WSH ET 
执行 的 文件 名 是 Sscript. exe 还 是 Cscript. exe, 以 确 WshNetwork 
认 host 的 版 本 信息 ,以 及 按 程序 结束 一 个 脚本 文件 WshShell 
的 运行 ,并 向 默认 的 输出 设备 (如 对 话 框 .命令 行 等 ) | WshShortcut | 
输出 信息 等 。 |wshunshortcut | 
。 WshArguments: 主要 作用 是 获取 全 部 的 命令 行 | 


变量 。 

。 WshNamed: 主要 负责 获取 指定 的 命令 行 参数 集 。 

。 WshUnnamed: 主要 负责 获取 未 经 指定 的 命令 行 参 
数 集 。 图 6-19 WSH 内 置 的 对 象 结构 
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WshNetwork: 主要 作用 是 开放 或 关闭 网 络 共享 ,连接 或 断 开 网 络 打 印 机 ,获取 当前 
登录 用 户 的 信息 等 。 
WshController: 用 于 创建 一 个 远程 脚本 对 象 。 
WshRemote: 实现 网 络 中 对 计算 机 系统 的 远程 管理 ,也 可 按 计划 对 其 他 程序 或 脚本 
进行 处 理 。 
WshRemoteError: 主要 作用 是 当 一 个 远程 脚本 (WshRemote 对 象 ) 因 脚本 错误 而 
终止 时 ,将 获取 可 用 的 错误 信息 。 
WshShell: 主要 负责 程序 的 本 地 运行 ,处 理 注 册 表 项 ,创建 快捷 方式 ,获取 系统 文件 
夹 信 息 ,处 理 环境 变量 等 。 
。 WshShortcut: 主要 用 于 按 计划 创建 快捷 方式 。 
。 WshSpecialfolders: 主要 用 于 获取 任意 一 个 Windows 特殊 文件 夹 的 信息 。 
WshURLShortcut: 主要 用 于 按 程序 要 求 创 建 进 入 网 络 地 址 的 快捷 方式 。 

。 WshEnvironment: 主要 用 于 获取 任意 的 环境 变量 , 如 WINDIR、PATH 和 

PROMPT 等 。 

。 WshScriptExec: 主要 用 于 确定 一 个 脚本 文件 的 运行 状态 及 错误 信息 。 

通过 以 上 这 14 个 WSH 内 置 的 对 象 ,用 户 就 可 以 利用 WSH 来 使 VBScript 和 JScript 
等 脚本 发 挥 更 大 的 功能 ,提高 系统 的 运行 效率 。 

3. WSH 的 工作 过 程 

WSH 的 工作 过 程 其 实 就 是 脚本 文件 被 解析 并 执行 的 过 程 。 例 如 ,在 现在 的 Web 页 面 
(如 HTML、ASP 页 面 等 ) 中 大 量 地 加 入 了 脚本 以 增强 页 面 的 效果 ,对 于 添加 到 HTML 页 
面 中 的 脚本 ,一 般 需 要 利用 IE 来 解析 并 运行 ,而 对 于 添加 到 ASP 页 面 中 的 脚本 , 则 由 JIS 
(Internet Information Services) 提 供 解 释 。 

下 面 举 一 个 WSH 的 应 用 实例 。 只 需要 在 “记事 本 ”等 文本 编辑 器 中 输入 以 下 一 行 
命令 ， 

WScript. Echo ("您 好 ! 这 是 WSH 的 一 个 应 用 实例 ") 


之 后 ,将 其 保存 为 一 个 脚本 文件 (扩展 名 为 .js 或 
.vbs) ,如 wsh. vbs。 然 后 双击 wsh. vbs 文件 ,将 会 显示 如 您 好 4 这 是 WS} 的 一 个 应 用 实例 
图 6-20 所 示 的 信息 。 

由 于 本 节 主 要 是 介绍 脚本 病毒 ,所 以 对 WSH 的 功能 不 
再 作 深入 的 介绍 ,有 兴趣 的 读者 可 以 参看 相关 的 技术 资料 。 图 620 一 个 WSH 的 应 用 实例 

4. WSH 的 安全 隐患 及 防治 

任何 事物 都 存在 其 两 面 性 。WSH 在 充分 利用 脚本 来 
提高 系统 效率 的 同时 ,也 增添 了 一 些 安全 隐患 。 目 前 ,大 量 的 基于 WSH 的 病毒 在 网 络 中 泛 
滥 , 其 中 曾 名 躁 一 时 的 ILove You 便 是 一 个 典型 代表 。 因 为 WSH 对 多 数 用 户 来 说 基本 上 
是 没有 用 的 ,所 以 可 以 让 Windows 操作 系统 禁用 WSH 来 达到 对 系统 的 安全 保护 。 

在 Windows 操作 系统 中 禁用 WSH 一 般 不 会 引起 下 浏览 器 和 系统 的 不 正常 ,但 在 禁 
用 了 WSH 后 ,一 些 需 要 WSH 支持 的 软件 将 无 法 正常 运行 ,用 户 也 无 法 正常 使 用 脚本 来 提 
高 系统 的 运行 效率 。 为 此 ,用 户 在 确认 系统 中 不 需要 WSH 的 支持 (目前 大 部 分 软件 不 需要 


WSH 的 支持 ) 后 ,可 以 通过 以 下 方法 来 禁用 WSH。 

对 于 Windows 2000/XP/2003 操作 系统 ,首先 打开 “我 的 电脑 ”窗口 ,然后 选择 “工具 ”一 
“文件 夹 选项 ”命令 ,并 在 打开 的 “文件 夹 选项 ”对 话 框 中 选择 “文件 类 型 ”选项 卡 ,将 打开 如 
图 6-21 所 示 的 对 话 框 。 其 中 ,删除 VBS、VBE、JS 和 JSE 这 4 个 扩展 名 的 文件 类 型 即 可 。 
之 后 ,Windows 操作 系统 将 完全 无 法 运行 脚本 程序 ,所 以 从 根本 上 预防 了 脚本 病毒 的 人 侵 。 
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图 6-21 删除 VBS、VBE、JS 和 JSE 这 4 个 扩展 名 的 文件 类 型 


6.4 木马 的 清除 和 防治 方法 


特洛伊 木马 (简称 为 “木马 ”trojan) 由 于 不 感染 其 他 的 文件 ,也 不 破坏 计算 机 系统 , 同 
时 也 不 进行 自我 复制 ,所 以 木马 不 具有 传统 计算 机 病毒 的 特征 。 由 于 目前 市 面 上 的 杀 病 毒 
软件 一 般 都 直接 支持 对 木马 的 查 杀 ,所 以 大 家 习惯 于 将 木马 称 为 “木马 病毒 ”。 木 马 主要 用 
来 作为 远程 控制 窃取 密码 的 工具 , 它 是 一 个 具有 内 外 连接 功能 的 后 门 程序 。 


6.4.1 木马 的 特征 


一 般 的 木马 程序 包括 客户 端 和 服务 器 端 两 个 程序 ,其 中 客户 端 用 于 攻击 者 远程 控制 植 
入 木马 的 计算 机 ( 即 服务 器 端 ) ,而 服务 器 端 即 是 植 入 木马 程序 的 远程 计算 机 。 当 木马 程序 
或 带 有 木马 的 其 他 程序 执行 后 ,木马 首先 会 在 系统 中 潜伏 下 来 ,并 修改 系统 的 配置 参数 ,每 
次 启动 系统 时 都 能 够 实现 木马 程序 的 自动 加 载 。 有 时 ,木马 程序 会 修改 某 一 类 型 文件 的 关 
联 ,从 而 使 木马 的 潜伏 变 得 更 加 容易 ,并 不 易 被 用 户 发 现 。 如 图 6-22 所 示 , 运 行 木马 的 客户 
端 和 服务 器 端 在 工作 方式 上 属于 客户 机 /服务 器 模式 ,其 中 ,客户 端 在 本 地 主机 执行 ,用 来 控 


制服 务 器 端 。 而 服务 器 端 则 在 远程 主机 上 执行 , 一旦 执 - 
客户 端 服务 器 端 

行 成 功 该 主机 就 中 了 木马 ,就 可 以 成 为 一 台 服 务 器 ,可 以 [en | [E277] 

被 控制 者 进行 远程 管理 。 图 6-22 木马 的 系统 组 成 
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木马 通常 采取 如 图 6-23 所 示 的 方式 实施 攻击 : 配置 木马 (伪装 木马 ) 一 传播 木马 (通过 文 
件 下 载 或 电子 邮件 等 方式 ) 一 运行 木马 (自动 安装 并 运行 ) 一 信息 泄露 一 建立 连接 一 远程 控制 。 
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3 入 
局 B= 
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= 建立 连接 "es 


' 
远程 控制 "3 


图 6-23 木马 的 运行 过 程 


目前 ,木马 入 侵 的 主要 途径 是 通过 电子 邮件 的 附件 或 文件 下 载 等 方式 ,将 木马 程序 复制 
到 用 户 的 计算 机 中 ,然后 通过 修改 系统 配置 文件 或 故意 误导 用 户 ( 如 谎 称 有 人 给 你 送 贺 卡 ) 
使 木马 程序 悄悄 地 在 后 台 执 行 。 一 般 的 木马 程序 只 有 几 K 到 几 十 K 的 大 小 ,所 以 当 木 马 程 
序 隐藏 在 正常 的 文件 中 后 用 户 一 般 很 难 发 现 。 

木马 也 可 以 通过 脚本 、ActiveX 及 ASP. CGI 交互 脚本 的 方式 植 入 ,由 于 IE 浏览 器 在 执 
行 脚本 时 存在 一 些 漏洞 ,这 就 为 攻击 者 植 人 木马 提供 了 便利 。 例 如 , 曾 出 现 过 一 个 利用 微软 
公司 的 Scripts 脚本 漏洞 对 用 户 的 硬盘 进行 格式 化 的 HTML 页 面 。 


6.4.2 木马 的 隐藏 方式 


由 于 木马 所 从 事 的 是 “地 下 工作 ”, 因 此 为 了 防止 "别人 ?发 现 它 , 它 必 须 采取 一 定 的 方式 
隐藏 起 来 。 木 马 开发 者 一 开始 就 想到 了 可 能 暴露 木马 踪迹 的 问题 。 例 如 木马 会 修改 注册 表 
和 系统 文件 ,以 便 计算 机 在 下 一 次 启动 后 仍 能 载 入 木马 程序 ,而 不 需要 生成 一 个 启动 程序 。 
有 些 木 马 在 服务 器 端 实现 了 与 正常 程序 的 绑 定 , 这 种 绑 定 称 之 为 exe-binder 绑 定 程序 ”可 
以 在 使 用 被 绑 定 的 正常 程序 时 实现 木马 的 入 侵 。 有 些 木 马 程序 能 把 它 自 身 的 exe 可 执行 文 
件 和 服务 端的 图 片 文件 (如 扩展 名 为 .jpg、 bmp 的 图 片 文件 ) 绑 定 ,在 用 户 打 开 图 片 时 ,木马 
便 侵 入 了 系统 。 总 体 来 看 ,木马 主要 通过 以 下 几 种 方式 进行 隐藏 。 

1. 在 “任务 栏 "里 隐藏 

这 是 木马 最 常 采用 的 隐藏 方式 。 为 此 ,如 果 用 户 在 Windows 的 “任务 栏 ?里 发 现 莫名 其 
妙 的 图 标 ,应 怀疑 可 能 是 木马 程序 在 运行 。 但 现在 的 许多 木马 程序 已 实现 了 在 任务 栏 中 的 
隐藏 , 当 木 马 运行 时 已 不 会 在 任务 栏 中 显示 其 程序 图 标 。 

2. 在 "任务 管理 器 ”里 隐藏 

在 任务 栏 的 空白 位 置 单 击 鼠 标 右键 ,在 弹出 的 快捷 菜单 中 选择 “任务 管理 器 ”命令 , 打 


其 "进程 ?列表 ,就 可 以 查看 正在 运行 的 进程 。 在 进程 列表 中 如 果 看 到 一 些 来 路 不 明 的 名 称 ， 
这 时 可 以 怀疑 是 木马 程序 。 为 了 隐藏 自己 ,现在 的 一 些 木 马 程序 已 实现 了 在 进程 中 的 伪装 ,使 
自己 不 出 现在 任务 管理 器 里 。 有 了 时 ,木马 程序 会 将 自己 伪装 为 “系统 服务 ”进程 以 骗 过 用 户 。 

3. 隐藏 通信 方式 

隐藏 通信 也 是 木马 经 常 采用 的 手段 之 一 。 通 过 前 面 的 介绍 读者 已 经 明白 任何 木马 运行 
后 都 要 和 攻击 者 (客户 端 ) 进 行 通 信 连 接 。 这 种 连接 一 般 有 直接 连接 和 间接 连接 两 种 方式 ， 
其 中 “直接 连接 ”是 指 攻 击 者 通过 客户 端 直接 接 入 植 有 木马 的 主机 (服务 器 端 ); 而 “间接 连 
接 ” 即 是 如 通过 电子 邮件 ,文件 下 载 等 方式 ,木马 把 侵入 主机 的 敏感 信息 送 给 攻击 者 。 现 在 
大 部 分 木马 一 般 会 在 植 人 主机 后 ,通过 TCP 或 UDP 端口 进行 驻 留 ,而 且 有 些 木 马 多 选择 一 
些 像 53 .80 和 23 等 常用 的 端口 。 例 如 ,有 一 种 木马 还 可 以 做 到 在 通过 80 端口 进行 HTTP 
连接 后 ,在 收 到 正常 的 HTTP 请 求 时 仍然 将 其 交 给 Web 服务 器 进行 处 理 ,只 有 收 到 一 些 特 
殊 约定 的 数据 包 时 才 调 用 木马 程序 。 

4. 隐藏 加 载 方式 

木马 在 植 人 主机 后 如 果 不 采取 一 定 的 方式 运行 也 就 等 于 在 用 户 的 计算 机 上 存 人 了 一 个 
无 用 的 文件 ,为 此 在 木马 值 人 主机 后 需要 司机 和 运行。 在 运行 时 ,如 果木 马 不 做 任何 伪装 会 被 
用 户 很 快 发 现 , 所 以 木马 必须 采取 非常 隐蔽 的 方式 通过 欺骗 用 户 来 运行 。 

木马 为 了 控制 服务 端 ,必须 在 系统 启动 时 跟随 启动 ,所 以 它 必须 潜入 用 户 计算 机 的 启动 
配置 文件 中 ,如 win. ini、system. ini、winstart. bat 及 启动 组 文件 等 。 目 前 , 随 着 一 些 互联 网 
站 的 大 量 应 用 ,为 木马 的 植 入 和 运行 提供 了 方便 之 门 , 像 Java Script、VBScript、ActiveX 和 
XML 等 WWW 的 每 一 个 新 功能 已 几乎 成 为 木马 入 侵 的 媒介 。 

5. 通过 修改 系统 配置 文件 来 隐藏 

可 以 通过 修改 VXD( 虚 拟 设备 驱动 程序 ) 或 DLL( 动 态 链接 库 ) 文 件 来 加 载 木 马 。 这 种 
方法 与 一 般 方法 不 同 , 它 基本 上 摆脱 了 原 有 的 木马 所 采用 的 监听 端口 进行 连接 的 模式 ,而 将 
木马 程序 改写 成 系统 已 知 的 VXD 或 DLL 文件 ,以 替代 系统 功能 的 方法 来 和 人 侵 。 这 样 做 的 
好 处 是 没有 增加 新 的 文件 ,不 需要 打开 新 的 端口 ,没有 新 的 进程 ,使 用 常规 的 方法 监测 不 到 。 
在 这 种 方式 中 ,木马 几乎 没有 表现 出 任何 症状 , 且 木 马 的 控制 端 向 被 控制 端 发 出 特定 的 信息 
后 ,隐藏 的 程序 就 立即 开始 运行 。 

6. 具有 多 重 备份 功能 

现在 许多 木马 程序 已 实现 了 模块 化 ,其 中 一 些 功 能 模块 已 不 再 由 单一 的 文件 组 成 ,而 是 
具有 多 重 备份 ,可 以 相互 恢复 。 当 用 户 删除 了 其 中 的 一 个 模块 文件 时 ,其 他 的 备份 文件 就 会 
立即 运行 。 这 类 木马 很 难 防治 。 


6.4.3 木马 的 种 类 


从 木马 程序 产生 以 来 ,不 但 其 隐蔽 性 得 到 加 强 , 而 且 木马 的 编写 和 控制 技术 及 功能 也 在 
不 断 加 强 。 从 总 体 来 看 ,可 以 对 目前 已 发 现 的 木马 程序 进行 以 下 的 分 类 。 

1. 远程 控制 型 木马 

远程 控制 型 木马 一 般 集成 了 其 他 木马 和 远程 控制 软件 的 功能 ,实现 对 远程 主机 的 入 侵 
和 控制 ,包括 访问 系统 的 文件 ,截取 主机 用 户 的 私人 信息 (包括 系统 账号 .银行 账号 等 ) 。 在 
木马 家 族 中 ,远程 控制 型 木马 是 数量 最 多 的 一 种 ,也 是 危害 最 大 的 一 种 , 它 可 以 让 攻击 者 完 
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全 控制 已 植 入 木马 的 主机 ,从 事 一 些 甚至 连 本 地 用 户 本 身 都 不 能 顺利 进行 的 操作 。 大 家 
熟知 的 “冰河 ”就 是 一 个 远程 控制 型 木马 , 当 服 务 端 程序 运行 时 ,客户 端 只 要 能 够 知道 服 
务 器 的 卫 地址 ,就 会 方便 地 实现 远程 控制 ,从 事 像 键盘 记录 、 上 传 和 下 载 信息 、 修 改 注册 
表 等 操作 。 

2. 密码 发 送 型 木马 

密码 发 送 型 木马 是 专门 为 了 窃取 别人 计算 机 上 的 密码 而 编写 的 ,木马 一 旦 被 执行 ,就 会 
自动 搜索 内 存 .Cache 临时 文件 夹 及 其 他 各 种 包含 有 密码 的 文件 ,如 Windows Server 2000、 
Windows Server 2003 的 SAM 文件 中 保存 的 Administrator 账户 密码 等 。 一 旦 搜索 到 有 用 
的 密码 ,木马 就 会 利用 免费 的 电子 邮件 服务 将 密码 发 送 到 指定 的 邮箱 ,从 而 达到 非法 窃取 别 
人 计算 机 上 密码 的 目的 。 这 种 木马 的 设计 目的 是 找到 所 有 的 隐藏 密码 并 且 在 用 户 不 知道 的 
情况 下 把 密码 发 送 到 指定 的 信箱 。 

3. 键盘 记录 型 木马 

键盘 记录 型 木马 的 设计 目的 主要 是 用 于 记录 用 户 的 键盘 敲 击 , 并 且 在 日 志文 件 (log 文 
件 ) 中 查找 密码 。 该 类 木马 分 别 记录 用 户 在 线 和 离线 状态 下 项 击 键 盘 时 的 按键 信息 。 攻 
击 者 在 获得 这 些 按键 信息 后 ,很 容易 就 会 得 到 用 户 的 密码 等 有 用 信息 ,包括 用 户 可 能 在 
网 上 输入 的 银行 账号 。 当 然 , 在 该 类 木马 中 ,记录 信息 的 返回 一 般 也 通过 邮件 发 送 功能 

4. 破坏 型 木马 

破坏 型 木马 的 功能 比较 单一 , 即 破坏 已 植 人 木马 的 计算 机 上 的 文件 系统 , 轻 则 使 重要 数 
据 被 删除 , 重 则 使 系统 崩溃 。 破 坏 型 木马 的 功能 与 计算 机 病毒 有 些 相似 ,不 同 的 是 破坏 型 木 
马 的 激活 是 由 攻击 者 控制 的 ,并 且 传 播 能 力也 比 病毒 慢 。 

5.DoS 攻击 型 木马 

随 着 DoS 和 DDoS(Distributed Denial of Service ,分 布 式 拒绝 服务 ) 攻 击 越 来 越 广泛 的 
应 用 ,与 之 相伴 的 DoS 攻击 型 木马 也 越 来 越 流行 。 当 黑客 入 侵 了 一 台 主 机 并 植 信 了 DoS 攻 
击 型 木马 ,那么 这 台 主 机 就 成 为 黑客 进行 DoS 攻击 的 最 得 力 助 手 。 黑 客 控制 的 主机 越 多 ， 
发 起 的 DoS 攻击 也 就 越 具 有 破坏 性 。 由 此 可 以 看 出 ,DoS 攻击 型 木马 的 危害 不 是 体现 在 被 
植 入 木马 的 主机 上 ,而 是 攻击 者 利用 它 作 为 攻击 信息 的 发 起 源头 来 攻击 其 他 的 计算 机 ,从 而 
使 被 攻击 的 计算 机 瘫痪 。 

另外 ,还 有 一 种 称 之 为 邮件 炸弹 的 木马 , 它 有 些 类 似 于 DoS 攻击 型 木马 ,一 旦 某 台 主机 
被 植 人 并 运行 了 木马 ,木马 就 会 随机 自动 生成 大 量 的 邮件 ,并 将 其 发 送 到 特定 的 邮箱 中 , 直 
到 对 方 的 邮件 服务 器 瘫痪 为 止 。 

6. 代理 型 木马 

在 计算 机 网 络 中 ,代理 是 一 种 被 广泛 使 用 的 技术 。 所 谓 代理 其 实 就 是 一 个 跳板 或 中 转 ， 
即 两 台 主机 之 间 的 通信 必须 借助 另 一 台 主 机 (该 主机 在 网 络 中 称 为 代理 服务 器 ) 来 完成 。 代 
理 型 木马 被 植 和 人 主机 后 , 像 DoS 攻击 型 木马 一 样 ,该 主机 本 身 不 会 遭 到 破坏 。 其 实 , 代 理 型 
木马 这 样 做 的 初衷 便 是 掩盖 自己 的 足迹 ,谨防 别人 发 现 自己 的 身份 。 通 过 代理 型 木马 ,攻击 
者 可 以 在 匿名 的 情况 下 使 用 Telnet 远程 登录 程序 及 ICQ、QQ 和 IRC 等 即时 信息 程序 ,从 
而 隐蔽 自己 的 踪迹 。 


7. FTP 木马 

FTP 木马 使 用 了 网 上 广泛 使 用 的 FTP 功能 ,通过 FTP 使 用 的 TCP 21 端口 来 实现 主 
机 之 间 的 连接 。 现 在 新 型 的 FTP 木马 还 加 上 了 密码 功能 ,这 样 只 有 攻击 者 本 人 才 知 道 正 确 
的 密码 ,从 而 进入 对 方 的 计算 机 。FTP 木马 是 出 现 比较 早 的 一 类 木马 。 

8. 程序 杀手 木马 

程序 杀手 木马 的 功能 就 是 关闭 对 方 计算 机 上 运行 的 菜 些 程序 (多 为 专门 的 防 病毒 或 防 
木马 程序 ) ,让 其 他 的 木马 安全 进入 ,实现 对 主机 的 攻击 。 

9. 反弹 端口 型 木马 

反弹 端口 型 木马 主要 是 针对 防火 墙 而 设计 的 。 防 火 墙 一 般 将 网 络 分 为 内 、 外 两 部 分 ,其 
中 主要 目的 是 保护 内 网 资源 。 所 以 防火 墙 会 对 从 外 网 进入 内 网 的 数据 包 进 行 严格 的 分 析 和 
过 滤 , 而 对 从 内 网 发 往外 网 的 数据 包 不 作 较 多 的 处 理 。 而 木马 的 工作 原理 与 防火 墙 正 好 相 
反 , 一 般 情况 下 ,木马 的 攻击 多 由 客户 端 发 起 ,所 以 当 被 攻击 者 位 于 防火 墙 的 内 部 时 ,位 于 外 
网 的 客户 端 将 无 法 与 位 于 内 网 的 服务 器 端 建立 连接 。 

针对 这 类 情况 , 便 出 现 了 反弹 端口 型 木马 。 反 弹 端 口 型 木马 的 服务 端 使 用 主动 端口 , 客 
户 端 使 用 被 动 端口 。 木 马 定时 监测 控制 端的 存在 ,发 现 控制 端 可 以 连接 后 便 立 即 弹 出 端口 
来 主动 连接 控制 端 打开 的 主动 端口 。 多 数 反弹 端口 型 木马 被 动 端口 设置 为 80 号 端口 ,以 避 
开 用 户 使 用 端口 扫描 软件 发 现 木马 的 存在 。 很 显然 ,防火 墙 一 般 是 不 会 封闭 80 号 端口 的 ， 
否则 所 有 的 Web 页 面 将 无 法 打开 。 


6.4.4 系统 中 植 入 木马 后 的 症状 


与 计算 机 病毒 一 样 , 当 木马 人 侵 系统 后 也 会 表现 出 一 定 的 症状 。 主 要 表现 为 以 下 几 种 。 

1. 随意 弹出 窗口 

虽然 用 户 的 计算 机 已 经 连接 在 网 上 ,但 并 没有 打开 任何 的 浏览 器 。 这 时 ,如 果 系 统 突然 
弹出 一 个 网 上 窗口 ,并 打开 某 一 个 网 站 ,这 时 有 可 能 运行 了 木马 。 如 果 用 户 上 网 使 用 的 是 拨 
号 方式 , 当 系统 突然 进行 自动 拨号 时 ,也 可 能 是 有 木马 在 运行 。 

另外 ,在 用 户 操作 计算 机 时 ,有 时 会 弹出 一 些 警告 框 或 信息 提示 对 话 框 ,这 时 也 可 能 已 
运行 了 木马 程序 。 

2， 系统 配置 参数 发 生 改 变 

有 的 时 候 , 用 户 使 用 的 Windows 操作 系统 的 配置 参数 (如 屏幕 保护 .时 间 和 日 期 显示 、 
声音 控制 .鼠标 的 形状 及 灵敏 度 .CD-ROM 的 自动 运行 程序 等 ) 莫 名 其 妙 地 被 自动 更 改 。 

3. 频 党 地 读 写 硬盘 

在 计算 机 上 并 未 进行 任何 操作 时 ,如 果 系 统 频繁 地 读 写 硬盘 (硬盘 指示 灯会 不 停 地 办 
烁 ), 有 时 软盘 驱动 器 也 会 经 常 自己 读 盘 ,这 时 可 能 有 木马 在 运行 。 

另外 ,在 本 章 前 面 已 经 介绍 过 ,木马 还 可 能 会 在 任务 栏 .任务 管理 器 等 处 显示 其 运行 的 
图 标 和 进程 。 


6.4.5 木马 的 自 运 行 方式 


作为 一 个 优秀 的 木马 程序 必须 具备 自 启动 功能 ,一 个 典型 的 例子 就 是 把 木马 加 入 到 用 
户 经 常 执行 的 程序 (如 explorer. exe、winword. exe) 中 ,用 户 执 行 该 程序 时 ,木马 则 会 自动 运 
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行 。 木 马 更 普遍 的 方法 是 通过 修改 Windows 系统 文件 和 注册 表达 到 目的 ,主要 表现 在 以 下 
几 个 方面 。 

1. 在 win. ini 中 局 动 

Windows 操作 系统 的 win. ini 文件 ,其 中 [windows] 字 段 中 有 load 王 和 run 王 两 个 启动 
命令 ,系统 默认 情况 下 这 两 条 后 面 是 空白 的 。 如 果木 马 要 利用 win. ini 实现 自 运行 ,就 可 以 
将 要 运行 的 木马 程序 加 载 到 这 两 条 启动 命令 中 。 

2. 在 system. ini 中 局 动 

在 Windows 的 安装 目录 下 有 一 个 系统 配置 文件 system. ini, 在 [386Enhj] 字 段 下 的 
“driver 一 路 径 \ 程 序 名 ”一 般 是 木马 经 常 加 载 的 地 方 。 而 且 , system. ini 中 的 [mic]、 
[drivers] 和 [drivers32] 这 三 个 字段 主要 是 Windows 操作 系统 来 加 载 驱动 程序 ,这 也 为 添加 
木马 程序 提供 了 良好 的 场所 。 

3. 在 autoexec. bat 和 config. sys 中 启动 

在 硬盘 的 第 一 个 引导 分 区 (一 般 为 C: 分 区 ) 下 存放 着 autoexec. bat 和 config. sys 两 个 
系统 批 处 理 和 配置 文件 ,这 两 个 文件 也 是 木马 经 常 实现 自 运行 的 地 方 。 

4. 在 Windows 启动 组 中 启动 

如 果 用 户 要 在 Windows 操作 系统 启动 时 自动 启动 某 一 个 程序 ,就 可 以 将 其 添加 到 ” 
始 ” 一 程序 ”启动 ?组 中 ,所 以 Windows 的 启动 组 也 成 为 木马 经 常 选择 的 驻 留 之 地 。 启 
动 组 对 应 的 文件 夹 为 C:\Windows\start menu\programs\startup, 在 注册 表 中 的 位 置 为 
HKEY_CURRENT_USER\Software\ Microsoft\windows\CurrentVersion\Explorer\shell 
Folders 中 的 Startup ,如 图 6-24 所 示 。 
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图 6-24 启动 组 在 注册 表 中 的 位 置 


5. 修改 文件 关联 

木马 本 身 无 法 方便 地 实现 自 启 动 , 就 需要 借助 其 他 合法 程序 来 完成 ,将 这 一 过 程 称 为 文 
件 关联 。 例 如 ,在 Windows 下 经 常 使 用 “记事 本 ”工具 (notepad. exe) 来 打开 文本 文件 ,但 是 
如 果 被 木马 修改 了 notepad. exe 的 关联 后 , 当 打 开 . txt 的 文本 文件 时 ,将 会 自动 运行 木马 程 


序 。 著 名 的 国产 木马 “冰河 ”就 是 以 这 种 方式 实现 木马 程序 的 启动 的 。 在 修改 了 notepad. 
exe 的 文件 关联 后 ,一旦 用 户 在 打开 . txt 文件 时 ,就 启动 了 木马 程序 。 

6. 捆绑 文件 

当 控 制 端 和 服务 端 已 通过 木马 建立 了 连接 后 ,控制 端 通过 工具 软件 将 木马 文件 和 某 一 
应 用 程序 捆绑 在 一 起 后 上 传 到 服务 端 ,并 覆盖 服务 端的 同名 文件 ,这 样 当 已 运行 的 木马 被 发 
现 并 删除 后 ,只 要 运行 了 捆绑 有 木马 的 应 用 程序 ,木马 就 会 再 次 运行 。 现 在 ,每 一 台 上 网 的 
计算 机 一 般 都 安装 有 杀 病 毒 软 件 ,而 杀 病 毒 软 件 一 般 在 系统 启动 后 都 会 自动 运行 ,并 驻 留 内 
存 。 所 以 ,如 果 将 木马 程序 捆绑 到 杀 病 毒 程序 后 ,那么 每 次 Windows 启动 均 会 启动 木马 ,而 
且 杀 病毒 软件 一 般 也 不 会 发 现 该 木马 。 


6.4.6 实验 操作 4 木马 的 防治 方法 


防治 木马 的 过 程 , 其 实 就 是 预先 采取 一 定 的 措施 来 预防 木马 进入 系统 ,即将 木马 阻止 在 
计算 机 之 外 的 相关 操作 。 

1. 防止 以 电子 邮件 方式 植 人 木马 

目前 电子 邮件 的 使 用 已 非常 广泛 ,每 一 个 使 用 Internet 的 用 户 几 乎 都 拥有 自己 的 电子 
信箱 。 为 此 ,大 量 的 木马 便利 用 电子 邮件 来 植 人 用 户 的 计算 机 系统 。 

木马 在 电子 邮件 中 的 位 置 一 般 有 两 种 : 附件 和 正文 。 早 期 的 电子 邮件 正文 多 使 用 文 
本 ,很 显然 在 文本 中 是 无 法 隐藏 木马 程序 的 ,所 以 木马 只 能 藏匿 在 电子 邮件 的 附件 中 ,而 且 
还 采取 双 后 缀 名 方式 。 一 旦 用 户 打开 了 藏 有 木马 的 附件 ,就 将 木马 植 入 到 了 系统 中 。 为 预 
防 这 类 木马 ,建议 用 户 不 要 随意 打开 来 路 不 明 的 电子 邮件 的 附件 。 如 果 确 实 要 打开 不 确定 
来 历 的 电子 邮件 附件 时 ,建议 先 将 其 下 载 到 指定 的 文件 夹 中 ,用 杀 病 毒 软件 查 杀 病 毒 并 用 专 
用 查 杀 木马 工具 扫描 后 再 打开 。 

现在 的 电子 邮件 系统 在 正文 中 已 直接 支持 图 片 HTML 页 面 等 内 容 的 显示 ,有 些 电子 
邮件 系统 还 支持 语音 和 视频 。 例 如 , 当 邮 件 正文 中 显示 了 HTML 页 面 ,并 显示 了 一 些 链 接 
时 ,一 般 不 要 单 击 这 些 链接 。 另 外 ,HTML 页 面 中 本 身 也 可 以 隐藏 不 安全 的 代码 ,一 旦 打开 
这 类 邮件 ,不 知 不 觉 中 就 已 感染 了 计算 机 病毒 或 植 人 了 木马 。 对 于 利用 邮件 正文 传播 的 病 
毒 和 木马 ,唯一 可 行 的 预防 方法 是 不 要 打开 这 类 邮件 ,而 将 其 直接 删除 。 

2. 防止 在 下 载 文件 时 植 人 木马 

计算 机 网 络 的 特点 之 一 是 提供 了 海量 的 信息 和 资源 ,其 中 包括 一 些 软件 。 目 前 ,很 多 网 
络 用户 已 习惯 于 在 网 络 上 搜索 和 下 载 所 需要 的 软件 ,但 没有 任何 人 能 够 保证 网 络 上 下 载 的 
软件 是 “干净 ”的 。 为 了 防止 通过 在 网 上 下 载 文件 时 植 人 木马 ,建议 服务 器 上 安装 的 所 有 软 
件 不 要 使 用 从 网 上 下 载 的 ,对 于 客户 机 上 使 用 的 软件 如 果 确 实 需要 从 网 上 下 载 的 软件 时 , 建 
议 先 将 软件 下 载 到 某 一 个 指定 的 文件 夹 中 ,用 杀 病 毒 软件 查 杀 病毒 并 用 专用 查 杀 木马 工具 
扫描 后 再 安装 使 用 。 

建议 习惯 于 从 网 上 下 载 软件 的 用 户 使 用 专用 的 下 载 工 具 ( 如 FlashGet) 来 将 文件 下 载 
到 指定 的 文件 夹 中 ,同时 把 下 载 工具 和 杀 病 毒 或 查 杀 木马 软件 进行 绑 定 , 这 样 每 当下 载 完 一 
个 文件 后 ,下 载 工具 便 会 利用 已 绑 定 的 杀 病 毒 或 查 杀 木马 软件 对 其 进行 自动 扫描 。 以 
FlashGet 为 例 , 实 现 与 杀 病 毒 或 查 杀 木 马 软件 绑 定 的 方法 为 : 在 FlashGet 操作 窗口 中 选择 
“工具 ”>“ 选 项 ”>“ 文 件 管理 ”命令 ,在 打开 的 如 图 6-25 所 示 的 “选项 ”对 话 框 中 选取 “下 载 
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完毕 后 进行 病毒 检查 ” 复 选 框 ,并 单 击 “ 浏 览 ” 按 钮 ,选择 本 机 上 已 使 用 的 杀 病毒 或 查 杀 木马 
软件 名 称 , 同 时 选择 “下 载 完 毕 后 打开 或 者 查看 已 下 载 的 文件 " 复 选 框 。 


过 
常规 。 | 代理 服务器 | 和 连接 | 协议 | 监视 | 重生 | 
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图 6-25 使 用 专用 下 载 工 具 并 绑 定 杀 病 毒 软件 


3. 防止 在 浏览 网 页 时 植 人 木马 

由 于 IE 浏览 器 本 身 存在 的 缺陷 ,许多 程序 可 以 在 用 户 不 知情 的 情况 下 安装 在 系统 中 ， 
这 也 为 木马 的 植 人 提供 了 一 条 途径 。 加 强 IE 的 安全 性 ,一 方面 是 使 用 最 新 版 本 的 IE 软件 ， 
因为 新 版 本 的 IE 修改 了 旧版 本 的 许多 不 足 , 尤 其 在 安全 性 方面 得 到 了 提高 。 同 时 ,在 使 用 
任何 一 个 正 时 ,都 要 及 时 升级 Services Pack 补丁 程序 ,以 修补 IE 存在 的 漏洞 。 另 一 方面 
是 设置 IE 的 设置 属性 ,具体 方法 是 在 IE 窗口 中 ,选择 “工具 ”>“Internet 选项 ”一 “安全 ” 命 
令 , 打 开 如 图 6-26 所 示 的 “Internet 选项 ?对 话 框 。 选 取 安 全 设置 对 象 栏 中 的 Internet 后 , 单 
击 “ 自 定义 级 别 " 按 钮 。 在 打开 的 如 图 6-27 所 示 的 “安全 设置 "对话 框 中 把 “ActiveX 控件 和 
插件 ”下 的 选项 全 部 设置 为 “禁用 ”, 这 样 就 阻止 了 IE 自动 下 载 和 执行 文件 的 可 能 性 。 
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图 6-26 “Internet 选项 "对话 框 图 6-27 禁用 AcitveX 控件 和 插件 


除 此 之 外 ,还 可 以 使 用 木马 消除 工具 (如 木马 克星 .木马 分 析 专 家 和 木马 专家 等 ) 定 期 对 
计算 机 系统 进行 扫描 。 


6.5 间谍 软件 及 防治 方法 


间谍 软件 是 目前 计算 机 网 络 中 继 病 毒 . 蠕 虫 和 木马 之 后 新 出 现 的 一 种 以 窍 取 他 人 信息 
和 进行 广告 宣传 为 主 的 程序 ,已 成 为 网 络 安全 的 重要 隐患 之 一 。 


6.5.1 间谍 软件 的 概念 


间谍 软件 (Spyware) 是 一 种 能 够 在 计算 机 用 户 不 知情 或 没有 感觉 存在 安全 隐患 的 情况 
下 ,在 用 户 的 计算 机 上 安装 的 “后 门 程序 ”软件 。 与 计算 机 病毒 不 同 的 是 ,计算 机 上 在 运行 了 
间谍 软件 后 ,对 使 用 者 来 说 并 没有 感觉 到 有 什么 异常 ,但 用 户 的 数据 和 重要 信息 可 能 会 被 间 
谍 软 件 获 取 , 并 被 发 送 到 另 一 端的 操纵 者 ,甚至 这 些 “ 后 门 程序 ”还 能 使 黑客 操纵 用 户 的 计算 
机 。 目 前 大 家 对 间谍 软件 没有 一 个 确切 的 定义 ,但 间谍 软件 一 般 具有 以 下 三 大 特征 。 

(1) 能 够 在 用 户 不 知情 的 情况 下 ,将 用 户 个 人 计算 机 的 识别 信息 发 送 到 因特网 的 某 处 ， 
这 些 信息 中 也 可 能 包括 一 些 敏感 的 个 人 隐私 信息 。 

(2) 没有 病毒 的 传染 性 ,同时 不 像 病毒 隐藏 那么 深 , 更 不 会 感染 文件 。 

(3) 能 监视 用 户 在 网 络 上 进行 的 一 些 操作 、 活 动 等 ,甚至 访问 了 哪些 网 站 都 能 监视 到 。 

目前 无 论 从 技术 还 是 从 法 律 的 角度 ,对 间谍 软件 的 界定 还 比较 模糊 。 间 谍 软 件 最 早 被 
一 些 广告 商用 于 监视 和 收集 用 户 的 网 上 行为 .兴趣 爱好 和 一 些 习惯 性 操作 ,他 们 将 这 些 信息 
收集 整理 后 转换 为 经 济 利益 。 而 如 今 , 间 谍 软 件 已 被 更 多 的 公司 及 个 人 利用 ,其 目的 也 从 初 
期 单纯 地 收集 有 用 信息 转化 为 今天 的 窃取 他 人 信息 ,甚至 直接 盗 取 用 户 银行 帐号、 密码。 有 
些 间谍 软件 还 可 以 记录 用 户 的 键盘 操作 ,捕捉 并 传送 屏幕 图 像 , 具 备 一 些 木 马 程序 的 功能 。 

与 间谍 软件 类 似 的 有 “广告 软件 ” ,该 类 软件 只 是 能 给 某 些 特定 的 网 站 做 宣传 ,自动 弹出 
一 些 用 户 并 不 想 访问 的 网 站 。 目 前 将 “广告 软件 ”也 归 为 “间谍 软件 ”的 范围 。 

目前 对 付 间 恋 软 件 还 没有 十 分 有 效 的 防治 办 法 ,国内 反 病 毒 厂商 会 将 一 些 危害 特征 明 
显 的 间谍 软件 加 入 杀毒 软件 病毒 库 ,而 大 部 分 “良性 间谍 软件 ?并 没有 被 当 作 病毒 查 杀 。 国 
外 一 些 安 全 厂商 推出 了 反 间 谍 软 件 (Anti-Spyware) 程 序 , 如 Ad-aware、SpyBot Search &. 
Destroy 和 Windows AntiSpyware 等 ,但 这 些 反 间谍 软件 只 能 在 一 定 程度 上 对 已 知 间谍 程 
序 进行 查 杀 。 


6.5.2 间谍 软件 的 入 侵 方 式 


在 系统 人 侵 方 面 ,间谍 软件 在 许多 方面 与 木马 有 些 类 似 。 但 由 于 间谍 软件 的 出 现 相 对 
较 晚 , 所 以 在 采取 的 技术 上 又 表现 出 了 一 些 特点 。 总 体 来 看 ,间谍 软件 通过 以 下 几 种 方式 入 
侵 用 户 的 计算 机 系统 。 

(1) 捆绑。 间谍 软件 或 广告 软件 与 另 一 个 程序 捆绑 在 一 起 ,用 户 从 表面 上 看 到 的 是 熟 
悉 的 系统 或 应 用 程序 ,但 在 该 程序 上 却 捆绑 了 间谍 软件 。 

(2) 通过 网 页 随机 入侵 。 因 特 网 上 的 许多 提供 免费 下 载 的 网 站 已 成 为 间谍 软件 藏匿 的 
场所 。 每 当 用 户 访问 这 些 网 站 尤其 是 下 载 文件 时 ,间谍 软件 就 会 乘机 而 人。 
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(3) 假冒 实用 程序 。 间 谍 软 件 会 伪装 成 为 一 些 实用 程序 而 伺机 入 侵 。 例 如 , 当 用 户 从 
网 上 打开 一 个 图 片 文件 时 ,系统 提示 用 户 在 浏览 图 片 文件 之 前 必须 安装 所 需 的 浏览 工具 ,这 
时 一 旦 用 户 安装 了 所 谓 的 “浏览 工具 ”, 间 谍 软 件 也 就 进入 到 用 户 的 计算 机 系统 。 

通过 以 上 几 种 主要 的 方式 ,间谍 软件 就 可 以 进入 用 户 的 计算 机 系统 。 如 果 是 一 个 广告 
软件 , 则 会 显示 一 些 广 告 页 面 ,或 强迫 浏览 器 进入 到 相关 网 站 ,或 重新 把 用 户 引 向 由 广告 商 
控制 的 搜索 结果 ,而 不 是 显示 用 户 习 惯 使 用 的 搜索 结果 (如 Google、 百 度 等 )。 


6.5.3 实验 操作 5 反 间 谍 工 具 Spybot-Search 改 Destroy 的 应 用 


Spybot-Search & Destroy( 以 下 简称 为 Spybot) 是 一 款 免 费 的 反 间 恋 软 件 , 也 是 目前 应 
用 效果 比较 好 的 一 款 反 间谍 软件 工具 ,同时 它 还 支持 中 文 操 作 ( 需 要 在 安装 时 选择 Chinese 
(PRC) ,如 图 6-28 所 示 ) ,可 运行 在 Windows 9x/NT/2000/XP/2003 操作 系统 上 。 到 目前 
为 止 ,Spybot 已 经 可 以 检测 出 一 万 多 种 间谍 程序 ,并 可 对 其 中 的 一 千 多 种 进行 免疫 处 理 。 
另外 , 当 首 次 运行 Spybot 时 ,出 于 安全 考虑 系统 建议 备份 当前 计算 机 的 注册 表 文 件 ,如 
图 6-29 所 示 。 
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图 6-28 选择 Chinese(PRC) 安 装 简体 中 文 环境 图 6-29 进行 注册 表 的 备份 


1， 进行 在 线 更 新 

Spybot 的 操作 主 窗口 如 图 6-30 所 示 。 需 要 说 明 的 是 ,在 使 用 Spybot 之 前 必须 通过 网 
络 对 其 进行 在 线 数据 库 的 更 新 。 具 体 方法 是 : 单 击 主 窗 口 左 边 列 表 中 的 “更 新 "图标 , 在 打 
开 的 对 话 框 中 单 击 “ 查 找 更 新 ”按钮 ,在 确保 计算 机 已 连接 网 络 的 情况 下 ,Spybot 会 通过 网 
络 下 载 要 更 新 的 内 容 ,并 显示 在 “更 新 "列表 框 中 。 在 列表 框 中 选取 要 更 新 的 内 容 , 然 后 单 击 
“下 载 更 新 ”按钮 ,系统 开始 下 载 所 选择 的 更 新 内 容 , 如 图 6-31 所 示 。 

2. 检查 并 清除 间谍 软件 

单 击 主 窗口 左 侧 菜单 上 的 “检查 & 清除 ”按钮 ,在 打开 的 窗口 中 单 击 “ 检 查 问题 "按钮 ， 
Spybot 开始 检查 当前 计算 机 系统 。 根 据 计 算 机 的 配置 及 运行 的 软件 情况 ,整个 检查 过 程 大 
概 需 要 十 几 分 钟 ,用 户 可 以 在 主 界面 的 状态 栏 上 看 到 估计 剩余 的 时 间 。 检 查 结束 后 , 便 会 列 
出 查 到 的 可 能 有 问题 的 软件 ,如 图 6-32 所 示 。 
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图 6-31 进行 在 线 更 新 操作 


选取 某 个 已 检查 到 的 问题 ,然后 单 击 右 侧 的 显示 详细 信息 按钮 ,可 以 查询 到 有 关 该 问题 
软件 的 发 布 公司 .软件 功能 、 说 明和 人 危害 种 类 等 信息 ,如 图 6-33 所 示 。 

如 果 要 修复 某 一 问题 ,可 先 在 如 图 6-32 所 示 的 列表 框 中 选取 要 进行 修复 的 软件 名 称 ， 
然后 单 击 “ 修 复 ” 按 钮 ,Spybot 便 会 自动 为 用 户 清除 系统 中 的 间谍 软件 ,修复 后 的 结果 显示 
如 图 6-34 所 示 。 

3. 还 原 

经 常 使 用 各 类 杀 病 毒 软件 的 用 户 可 能 总 有 这 种 经 历 : 当 清除 了 某 种 病毒 后 却 发 现 某 些 
软件 无 法 运行 了 。 如 果 用 户 在 使 用 Spybot 的 “检查 & 清除 ”功能 “修复 ”了 已 发 现 问 题 的 软 
件 后 , 却 发 现 该 软件 无 法 运行 了 。 这 时 , 便 可 以 使 用 “还原 ”功能 来 撤销 前 面 的 “修复 ”操作 。 
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图 6-32 显示 检测 结果 
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图 6-33 显示 某 一 软件 的 相关 信息 


具体 操作 方法 是 : 单 击 主 窗口 左 侧 菜 单 中 的 还原” 按钮 ,在 打开 的 如 图 6-35 所 示 的 对 话 框 
的 “备份 ”列表 中 选取 要 还 原 的 软件 名 称 , 然 后 单 击 “ 还 原 ” 按 钮 即 可 。 

需要 注意 的 是 , 当 用 户 确信 某 个 备份 不 需要 时 ,建议 删除 这 个 备份 以 减少 空间 的 占用 。 
具体 方法 是 : 在 图 6-35 所 示 的 “备份 ”列表 框 中 选取 要 删除 的 备份 软件 名 称 ,然后 单 击 “ 删 
除 ” 按 钮 即 可 。 

4. 免疫 

Spybot 可 以 对 1000 多 种 间谍 软件 进行 免疫 处 理 。 它 通过 对 这 些 间谍 软件 的 预防 性 处 
理 ,可 有 效 地 避免 遭受 这 些 间谍 软件 的 危害 。 具 体 方法 是 : 单 击 主 窗口 左 侧 列表 框 中 的 “ 免 
疫 ? 按 钮 ,Spybot 将 自动 检测 当前 计算 机 的 免疫 情况 ,并 打开 如 图 6-36 所 示 的 窗口 ,提示 已 


请 Spybot - Search & Destroy 


图 6-34 显示 已 修复 的 内 容 


本 
文件 @) 模式 mi) 语言 和 帮助 00 


依 还 原 
氢 消 尘 前 对 系统 所 作 的 修改 


于 和 X 由。 的 各 


图 6-35 还 原 已 清除 的 软件 


进行 了 免疫 处 理 的 有 害 软 件 的 个 数 ,显示 当前 有 “0 个 有 害 项 目 已 免疫 ”, 即 还 未 进行 免疫 处 
理 。 要 进行 永久 性 免疫 ,可 单 击 “免疫 ?按钮 ,Spybot 便 会 自动 对 系统 进行 免疫 操作 ,结果 如 
图 6-37 所 示 。 同 时 ,建议 用 户 选取 * 人 允许 在 IE 浏览 器 中 永久 封锁 有 害 的 网 址 ” 复 选 框 ,以 实 
现 双 层 保护 的 效果 。 

5. 其 他 功能 

如 图 6-38 所 示 ,在 “工具 ?列表 中 ,Spybot 还 提供 系统 报告 文件 粉碎 机 和 后 台 监 控 等 
多 种 功能 ,用 户 可 根据 实际 需要 选择 使 用 。 例 如 , 单 击 “IE 工具 ”按钮 将 打开 如 图 6-39 所 示 
的 窗口 ,在 该 窗口 中 可 以 对 浏览 器 和 系统 的 一 些 特性 进行 安全 设置 。 
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瞻 车 这 个 信息 
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「 永 A 随 止 Internet Explorer 有 


永久 阻止 Internet Explorer 浏览 器 下 载 有 害 的 内 容 
已 经 茜 止 下 载 有 害 的 Web 浏览 器 插件 。 


友 允许 在 IE 浏览 器 中 永久 封锁 有 害 的 网 址 


图 6-37 进行 了 免疫 处 理 后 的 显示 信息 


6.5.4 实验 操作 6 间谍 软件 的 防治 


间谍 软件 与 计算 机 病毒 不 同 ,由 于 它 一 般 不 影响 计算 机 的 正常 运行 ,所 以 当 间 谍 软 件 入 
侵 计算 机 系统 后 没有 明显 的 症状 。 但 事实 上 ,凡是 接 入 因特网 的 计算 机 基本 上 都 有 间谍 软 
件 在 运行 ,所 以 对 间谍 软件 进行 防治 是 很 有 必要 的 。 

Spybot 的 首创 人 Patrick Kolla 曾 说 过 :“ 间 谍 软 件 制造 者 们 正在 系统 中 寻找 新 的 、 隐 
蔽 性 更 强 的 地 方 来 达到 他 们 的 目的 ,对 于 任何 反 间 谍 软 件 来 说 ,挑战 在 于 同时 升级 探测 机 制 
和 探测 数据 库 。” 所 以 间谍 软件 与 反 间 谍 软 件 之 间 的 较量 将 是 一 个 长 期 的 过 程 ,在 此 过 程 中 
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图 6-39 I 工具 设置 


间谍 软件 是 主导 者 ,而 反 间 谍 软 件 总 处 于 一 种 被 动 状态 , 像 前 面 介绍 的 Spybot 也 只 能 在 一 
定 程度 上 对 已 知 间谍 程序 进行 查 杀 。 因 此 ,有 效 地 防止 已 知 和 未 知 的 间谍 软件 侵害 将 显得 
更 为 重要 。 以 下 是 几 种 常用 的 防治 方法 。 

1. 用 好 反 间 谍 软 件 

像 前 面 介 绍 的 Spybot 反 间 谍 软 件 , 通 过 用 户 设置 可 以 定期 进行 扫描 并 发 现 系统 中 隐藏 
的 间谍 软件 ,对 发 现 的 可 疑 软件 可 以 进行 隔离 .删除 等 操作 ,这 在 一 定 程度 上 保护 了 计算 机 
系统 。 另 外 ,如 果 要 从 源头 开始 防止 间谍 软件 的 入 侵 , 可 以 选择 安全 性 较 高 的 操作 系统 , 单 
机 版 建议 使 用 Windows XP SP2 及 以 上 版 本 的 操作 系统 ,服务 器 版 建议 使 用 UNIX/Linux 


计算 机 涤 素 , 太 马 和 间 恋 款 件 与 防治 


地 口 鞭 


计算 机 网 络 安 全 技术 


操作 系统 ,也 可 以 考虑 使 用 Windows Server 2003 或 2008 操作 系统 。 相 对 于 以 前 的 操作 系 
统 , 这 些 操 作 系 统 的 安全 性 得 到 了 较 大 的 提高 。 例 如 ,Windows XP SP2 和 Windows Server 
2003 可 以 屏蔽 网 站 的 弹出 窗口 ,因为 不 少 间谍 软件 就 是 隐藏 在 网 站 的 弹出 窗口 中 而 伺机 进 
入 用 户 的 计算 机 系统 的 。 另 外 , 除 选择 使 用 一 款 较 好 的 反 间 谍 软 件 外 ,还 要 配置 防火 墙 和 杀 
病毒 软件 。 其 实 , 现 在 许多 防火 墙 和 杀 病 毒 软件 都 提供 了 反 间 谍 软 件 功 能 。 

2. 尽量 少 使 用 P2P 下 载 文 件 

P2P 的 传统 解释 为 Peer-to-peer, 即 点 对 点 通信 。 现 在 ,P2P 已 赋予 了 更 广泛 的 应 用 ,被 
称 之 为 Pointer-to-Pointer, 即 PC-to-PC( 计 算 机 到 计算 机 )。 简 单 地 说 ,P2P 就 是 指数 据 的 
传输 不 再 通过 服务 器 ,而 是 在 网 络 用 户 之 间 直 接 传 递 数据 。 由 于 P2P 软件 的 特点 ,现在 在 
因特网 上 的 应 用 非常 广泛 ,如 BT, 电驴 等 。 由 于 P2P 软件 的 工作 特点 ,致使 两 个 利用 P2P 
软件 进行 通信 的 计算 机 之 间 没 有 确定 性 , 随 之 也 就 没有 安全 保护 。 正 因为 这 样 ,现在 因特网 
上 的 大 量 间谍 软件 被 伪装 成 其 他 的 可 能 引起 用 户 关 注 的 文件 名 ,而 等 用 户 下 载 了 这 些 软 件 
后 却 被 安装 了 间谍 软件 。 

3. 关闭 邮件 的 预览 功能 

现在 的 电子 邮件 正文 一 般 都 直接 支持 HTML 页 面 ,而 HTML 页 面 文件 可 以 直接 插入 
脚本 等 语言 。 这 样 , 当 用 户 打 开 被 感染 的 HTML 电子 邮件 的 时 候 , 间 谍 软 件 将 被 激活 。 所 
以 ,建议 用 户 不 要 打开 可 疑 邮件 ,同时 关闭 邮件 收发 软件 的 预览 功能 ,这 样 可 以 在 不 打开 的 
情况 下 就 直接 删除 信息 。 以 Outlook 2003 为 例 , 选 择 “ 工 具 ” 一 “选项 ”命令 ,在 打开 的 如 
图 6-40 所 示 的 “选项 ”对 话 框 中 选取 “阻止 HTML 电子 邮件 中 的 图 像 和 其 他 外 部 内 容 ” 复 
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点 区域 堪 安 全 ) @) 
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伙 不 光 许 保存 或 打开 可 能 有 病毒 的 附件 g)。 


下 载 图 入 RR 


证 阻止 TML 电子 邮件 中 的 图 者 和 其 地 外 部 内 容 @)。 


安全 邮件 
岛 人 详细 内 容 如 ... 


取消 应 用 外 


图 6-40 关闭 对 HTML 中 图 片 和 其 他 内 容 的 自动 打开 功能 


4. 防止 安装 软件 时 安装 间谍 软件 
我 们 在 安装 一 些 软件 时 系统 会 提示 (有 时 根本 不 提示 ) 同 时 安装 其 他 的 一 些 软件 ,有 时 
被 同时 安装 的 这 些 软 件 就 是 间谍 软件 。 为 此 ,在 安装 软件 之 前 或 安装 过 程 中 ,用 户 一 定 要 仔 


细 阅 读 终端 用 户 许 可 协议 (End User License Agreements,EULA) ,因为 有 些 EULA 会 告 
诉 你 如 果 安 装 了 本 软件 ,也 就 同时 决定 安装 这 个 软件 中 带 有 的 间谍 软件 。 
另外 ,在 I 下 浏览 器 中 ,应 将 安全 设置 至 少 处 于 中 等 水 平 ,同时 禁止 浏览 器 安装 任何 用 户 


没有 要 求 的 ActiveX 控制 件 。 
习 题 


6-1 名 词 解释 : 计算 机 病毒 多 态 病毒 .蠕虫 .木马 。 
6-2 ”计算 机 病毒 具有 哪些 特征 ? 


6-3 目前 流行 的 计算 机 病毒 可 分 为 哪 几 类 ? 分 别 具 有 哪些 特点 ? 


6-4 计算 机 病毒 与 蠕虫 和 木马 有 哪些 区 别 ? 


6-5 计算 机 在 感染 了 蠕虫 后 有 哪些 具体 的 表现 形式 ? 


6-6 ”如 何 防治 蠕虫 病毒 ? 
6-7 ”什么 是 脚本 ? 常用 的 脚本 软件 有 哪些 ? 
6-8 如 何 防治 脚本 病毒 ? 


6-9 与 蠕 虫 和 脚本 病毒 相 比 ,木马 有 哪些 具体 的 特征 ? 


6-10 ”如何 判 断 系统 中 被 植 人 了 木马 程序 ? 
6-11 如 何 防治 木马 ? 


6-12 什么 是 间谍 软件 ? 间谍 软件 对 系统 有 哪些 危害 ? 


6-13 ”如 何 清除 和 防治 间谍 软件 ? 
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第 7 章 网 络 攻击 与 防范 


因特网 的 无 处 不 在 和 无 所 不 能 已 经 完全 改变 了 人 们 对 “网 络 ” 这 个 概念 已 有 的 定义 。20 
世纪 70 年 代 以 前 ,计算 机 网 络 还 基本 上 是 完全 孤立 存在 。 而 现在 这 种 无 处 不 在 的 网 络 在 能 
够 使 用 户 完成 过 去 不 可 想象 的 工作 的 同时 ,也 为 各 类 网 络 入 侵 , 攻 击 甚至 是 犯罪 提供 了 平 
台 。 为 了 应 付 各 种 威胁 ,用 户 开始 应 用 入 侵 检 测 系统 (IDS) ,通过 IDS 来 监视 经 过 网 络 和 服 
务 器 的 通信 。 针 对 IDS 存在 的 不 足 ,IPS 则 从 防御 入 手 对 网 络 进行 安全 防护 。 本 章 在 重点 
介绍 各 类 网 络 攻 击 手段 后 ,将 有 针对 性 地 介绍 DoS/DDoS IDS IPS 的 工作 原理 和 防范 方 
法 。 需 要 说 明 的 是 ,由 于 各 类 安全 产品 操作 方法 的 差异 性 ,本 章 不 再 具体 就 某 一 种 产品 介绍 
其 应 用 ,而 是 着 重 介 绍 相关 的 技术 特点 及 应 用 功能 ,以 此 培养 读者 选择 和 部 署 网 络 安全 产品 
的 能 力 。 


7.1 网 络 攻击 概述 


随 着 网 络 应 用 的 日 渐 普 及 ,安全 威胁 日 显 突出 ,其 中 网 络 攻击 成 为 目前 网 络 安全 中 危害 
最 严重 的 现象 之 一 ,所 以 研究 和 解决 各 种 攻击 方法 将 显得 很 有 必要 。 


7.1.1 网 络 入 侵 与 攻击 的 概念 


网 络 人 侵 是 一 个 广义 上 的 概念 , 它 是 指 任何 威胁 和 破坏 计算 机 或 网 络 系统 资源 的 行为 ， 
例如 非 授权 访问 或 越权 访问 系统 资源 、 搭 线 窃听 网 络 信 息 等 。 具 有 入 侵 行为 的 人 或 主机 称 
为 人 侵 者 。 一 个 完整 的 入 侵 包 括 入 侵 准 备 、 攻 击 和 侵入 实施 等 过 程 。 而 攻击 是 入 侵 者 进 
行人 侵 所 采取 的 技术 手段 和 方法 ,入 侵 的 整个 过 程 都 伴随 着 攻击 ,有 时 也 把 人 侵 者 称 为 
攻击 者 。 

其 实 , 在 整个 网 络 行为 中 ,入 侵 和 攻击 仅仅 是 在 形式 和 概念 描述 上 有 所 不 同 ,其 实质 基 
本 上 是 相同 的 。 对 计算 机 和 网 络 系统 而 言 , 入 侵 与 攻击 没有 本 质 的 区 别 , 入 侵 伴随 着 攻击 ， 
攻击 的 结果 就 是 入 侵 。 例 如 ,在 人 侵 者 没有 侵入 目标 网 络 之 前 ,会 采取 一 些 方法 或 手段 对 目 
标 网 络 进行 攻击 。 当 攻击 者 侵入 目标 网 络 之 后 ,入 侵 者 利用 各 种 手段 窃取 和 破坏 别人 的 
资源 。 

从 网 络 安全 角度 看 ,入 侵 和 攻击 的 结果 都 是 一 样 的 。 一 般 情况 下 ,入 侵 者 或 攻击 者 可 能 
是 黑客 .破坏 者 、 间 谍 、 内 部 人 员 被 雇用 者 .计算 机 犯罪 者 或 慌 怖 主义 者 。 攻 击 时 ,所 使 用 的 
工具 (或 方法 ) 可 能 是 电磁 泄漏 、 搭 线 窃 听 、 程 序 或 脚本 、 软 件 工具 包 、 自 治 主体 (能 独立 工作 
的 小 软件 ) .分布 式 工具 、 用 户 命令 或 特殊 操作 等 。 在 本 章 的 描述 中 ,将 集中 使 用 攻击 这 一 


人 入侵 者 (或 攻击 者 ) 所 采用 的 攻击 手段 主要 有 以 下 8 种 特定 类 型 。 

(1) 冒充 。 将 自己 伪装 成 为 合法 用 户 ( 如 系统 管理 员 ) ,并 以 合法 的 形式 攻击 系统 。 

(2) 重 放 。 攻 击 者 首先 复制 合法 用 户 所 发 出 的 数据 (或 部 分 数据 ) ,然后 进行 重 发 ,以 其 
骗 接 收 者 ,进而 达到 非 授 权 入 侵 的 目的 。 

(3) 算 改 。 通 过 采取 秘密 方式 算 改 合法 用 户 所 传送 数据 的 内 容 , 实 现 非 授 权 入 侵 的 
目的 。 

(4) 拒绝 服务 。 中 止 或 干扰 服务 器 为 合法 用 户 提供 服务 或 抑制 所 有 流向 某 一 特定 目标 
的 数据 。 

(5) 内 部 攻击 。 利 用 其 所 拥有 的 权限 对 系统 进行 破坏 活动 。 这 是 最 危险 的 类 型 , 据 有 
关 资 料 统计 ,80% 以 上 的 网 络 攻 击 及 破坏 与 内 部 攻击 有 关 。 

(6) 外 部 攻击 。 通 过 搭 线 窃听 截获 辐射 信号 ,冒充 系 统管 理 人 员 或 授权 用 户 设置 旁 
路 躲避 鉴别 和 访问 控制 机 制 等 各 种 手段 人 侵 系 统 。 

(7) 陷阱 门 。 首 先 通过 某 种 方式 侵入 系统 ,然后 安装 陷阱 门 (如 值 人 木马 程序 ) 。 并 
通过 更 改 系统 功能 属性 和 相关 参数 ,使 人 侵 者 在 非 授 权 情 况 下 能 对 系统 进行 各 种 非法 
操作 。 

(8) 特洛伊 木马 。 这 是 一 种 具有 双重 功能 的 客户 /服务 体系 结构 。 特 洛 伊 木 马 系统 不 
但 拥有 授权 功能 ,而 且 还 拥有 非 授权 功能 ,一 旦 建立 这 样 的 体系 ,整个 系统 便 被 占领 。 


7.1.2 拒绝 服务 攻击 


拒绝 服务 攻击 是 出 现 较 早 .实施 较为 简单 的 一 种 攻击 方法 。 它 是 攻击 者 利用 一 定 的 手 
段 , 让 被 攻击 主机 无 法 响应 正常 的 用 户 请 求 。 拒 绝 服务 攻击 主要 表现 为 以 下 几 个 方面 。 

1. 死亡 之 ping 

死亡 之 ping(ping of death) 是 最 常 使 用 的 拒绝 服务 攻击 手段 之 一 , 它 利 用 ping(Packet 
Internet Groper) 命 令 发 送 不 合法 长 度 的 测试 包 来 使 被 攻击 者 无 法 正常 工作 。 在 早期 的 网 
络 中 ,路 由 器 对 数据 包 的 最 大 尺寸 都 有 限制 ,在 TCP/IP 网 络 中 ,许多 系统 对 ICMP 包 的 大 
小 都 规定 为 64KB。 当 ICMP 包 的 大 小 超过 该 值 时 就 导致 内 存 分 配 错误 , 直 致 TCP/IP 协议 
栈 上 崩溃, 最终 使 被 攻击 主机 无 法 正常 工作 。 

在 基于 TCP/IP 协议 的 Internet 广泛 使 用 的 今天 ,为 了 阻止 死亡 之 Ping, 现 在 所 使 用 的 
网 络 设备 (如 交换 机 、 路 由 器 和 防火 墙 等 ) 和 操作 系统 (如 UNIX、Linux、Windows 和 Solaris 
等 ) 都 能 够 过 滤 掉 超大 的 ICMP 包 。 以 Windows 操作 系统 来 说 ,单机 版 从 Windows 98 之 
后 ,Windows NT 从 Service Pack 3 之 后 都 具有 抵抗 一 般 ping of death 攻击 的 能 力 。 

2. 泪 滴 

在 TCP/IP 网 络 中 ,不 同 的 网 络 对 数据 包 的 大 小 有 不 同 的 大 小 规定 ,例如 以 太 网 的 数据 
包 最 大 为 1500B( 将 数据 包 的 最 大 值 称 为 最 大 数据 单元 ,MTU), 令 牌 总 线 网 络 的 MTU 为 
8182B, 而 令 牌 环 网 和 FDDI 对 数据 包 没有 大 小 限制 。 如 果 令 牌 总 线 网 络 中 一 个 大 小 为 
8000B 的 IP 数据 包 要 发 送 到 以 太 网 中 ,由 于 令 牌 总 线 网 络 的 数据 包 要 比 以 太 网 的 大 ,所 以 
为 了 能 够 完成 数据 的 传输 ,需要 根据 以 太 网 数据 包 的 大 小 要 求 ,将 令 牌 总 线 网 络 的 数据 包 分 
成 至 少 6 部 分 (1500X6 王 9000) ,将 这 一 过 程 称 为 分 片 。 

在 IP 报头 中 有 一 个 偏 移 字段 和 一 个 分 片 标 志 (MF) ,如 果 MF 标志 设置 为 1, 则 表明 这 
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个 IP 数据 包 是 一 个 大 IP 数据 包 的 片段 .其 中 偏 移 字段 指出 了 这 个 片段 在 整个 IP 数据 包 中 
的 位 置 。 例 如 ,对 一 个 4500B 的 IP 数据 包 进 行 分 片 (MTTU 为 1500) , 则 三 个 片段 中 偏 移 字 
段 的 值 依次 为 0.1500.3000。 这 样 接收 端 就 可 以 根据 这 些 信息 成 功 地 重组 该 IP 数据 包 。 

如 果 一 个 攻击 者 打破 这 种 正常 的 分 片 和 重组 IP 数据 包 的 过 程 ,把 偏 移 字段 设置 成 不 正 
确 的 值 (假如 ,把 上 面 的 偏 移 设 置 为 0、1300、3000) ,在 重组 IP 数据 包 时 可 能 会 出 现 重 合 或 
断 开 的 情况 ,就 可 能 导致 目标 操作 系统 崩溃 。 这 就 是 所 谓 的 泪 滴 (teardrop) 攻 击 。 

防范 泪 滴 攻击 的 有 效 方法 是 给 操作 系统 安装 最 新 的 补丁 程序 ,修补 操作 系统 漏洞 。 同 
时 ,对 防火 墙 进行 合理 地 设置 ,在 无 法 重组 IP 数据 包 时 将 其 丢弃 ,而 不 进行 转发 。 

3. ICMP 泛 洪 

ICMP 泛 洪 (ICMP flood) 是 利用 ICMP 报 文 进行 攻击 的 一 种 方法 。 在 平时 的 网 络 连 通 
性 测试 中 ,经 常 使 用 ping 命令 来 诊断 网 络 的 连接 情况 。 如 图 7-1 所 示 , 当 输入 了 一 个 ping 
命令 后 ,就 会 发 出 ICMP 响应 请 求 报 文 (ICMP ECHO) ,接收 主 机 在 接收 到 ICMP ECHO 
后 ,会 回应 一 个 ICMP ECHO Reply 报 文 (图 7-1 中 共 收 回 了 4 个 ICMP ECHO Reply 报 
文 ) 。 在 这 个 过 程 中 , 当 接收 端 收 到 ICMP ECHO 报 文 进行 处 理 时 需要 占用 一 定 的 CPU 资 
源 。 如 果 攻 击 者 向 目标 主机 发 送 大 量 的 ICMP ECHO 报 文 ,将 产生 ICMP 泛 洪 , 目 标 主机 
会 将 大 量 的 时 间 和 资源 用 于 处 理 ICMP ECHO 报 文 ,而 无 法 处 理 正 常 的 请 求 或 响应 ,从 而 
实现 对 目标 主机 的 攻击 。 
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IC:\Docunents and Settings\wangqun)ping www.sina.com.cn 


Pinging jupiter.sina-com-cn [61.172.281.194] with 32 bytes of data: 


Reply from 61.172.201.194: bytes=32 time=' 
Reply from 61.172.281.194: bytes=32 tine=9ns TTL=247 


for 61.172.281 .194: 
Sent = 4. Received = 4,. Lost = @ (@x loss), 
Approxinate round trip tines in milli-second 
Minimum = 9ns, Maxinun = 9ms, fAverage = 9ns 


:\Docunents and Settings\wangqun> NR 


图 7-1 利用 ping 命令 发 出 的 ICMP 报 文 来 测试 网 络 连 接 情况 


防范 ICMP 泛 洪 的 有 效 方法 是 对 防火 墙 . 路 由 器 和 交换 机 进行 相应 设置 ,过 滤 来 自 同一 
台 主 机 的 .连续 的 ICMP 报 文 。 对 于 网 络 管理 员 来 说 ,在 网 络 正 常 运行 时 建议 关闭 ICMP 报 
文 , 即 不 允许 使 用 ping 命令 。 例 如 ,如 图 7-2 所 示 , 在 Windows XP/2003 系统 中 启用 了 
Internet 连接 防火 墙 后 , 则 默认 所 有 的 ICMP 报 文 选项 均 被 禁用 ,从 而 可 以 阻止 来 自 网 络 的 
ping 试探 。 

4. UDP 泛 洪 

UDP 泛 洪 (UDP flood) 的 实现 原理 与 ICMP 泛 洪 类 似 , 攻 击 者 通过 向 目标 主机 发 送 大 
量 的 UDP 报 文 ,导致 目标 主机 忙于 处 理 这 些 UDP 报 文 ,而 无 法 处 理 正 常 的 报 文 请 求 或 
响应 。 
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图 7-2 启用 Internet 防火 墙 


5. LAND 攻击 

LAND 攻击 利用 了 TCP 连接 建立 的 三 次 握手 过 程 , 通 过 向 一 个 目标 主机 发 送 用 于 建 
立 请 求 连 接 的 TCP SYN 报 文 而 实现 对 目标 主机 的 攻击 。 与 正常 的 TCP SYN 报 文 不 同 的 
是 ,LAND 攻击 报 文 的 源 IP 地 址 和 目的 IP 地 址 是 相同 的 ,都 是 目标 主机 的 IP 地址。 这样， 
目标 主机 在 收 到 这 个 SYN 报 文 后 ,就 会 向 该 报 文 的 源 地 址 发 送 一 个 ACK 报 文 ,并 建立 一 
个 TCP 连接 控制 结构 ,而 该 报 文 的 源 地 址 就 是 自己 。 由 于 目的 IP 地址 和 源 IP 地 址 是 相同 
的 ,都 是 目标 主机 的 IP 地 址 ,因此 这 个 ACK 报 文 就 发 给 了 目标 主机 本 身 。 

利用 该 过 程 , 当 攻 击 者 发 送 SYN 报 文 达到 一 定 的 数量 时 ,目标 主机 的 连接 控制 结构 将 
会 被 耗 尽 , 从 而 无 法 为 其 他 用 户 提 供 正 常 的 服务 。 

防范 LAND 攻击 的 可 行 方法 是 给 操作 系统 安装 最 新 的 补丁 程序 ,同时 在 网 络 设备 (如 
防火 墙 . 路 由 器 和 交换 机 等 ) 上 进行 相应 的 配置 ,将 那些 通过 外 部 接口 进入 内 部 网 络 的 含有 
内 部 源 地 址 的 IP 数据 包 过 滤 掉 。 

6. Smurf 攻击 

如 图 7-1 所 示 , 在 网 络 连通 性 诊断 中 通常 使 用 ICMP ECHO, 当 一 台 主机 接收 到 这 样 一 
个 报 文 后 ,会 向 报 文 的 源 地 址 回应 一 个 ICMP ECHO REPLY 应 答 报 文 。 在 TCP/IP 网 络 
中 ,一 般 情况 下 主机 不 会 检查 该 ICMP ECHO 请 求 的 源 地 址 。 利 用 该 “漏洞 ”, 攻 击 者 可 以 
把 ICMP ECHO 的 源 地 址 设置 为 一 个 广播 地 址 或 某 一 子 网 的 IP 地 址 ,这 样 目标 主机 就 会 
以 广播 形式 回复 ICMP ECHO REPLY, 导 致 网 络 中 产生 大 量 的 广播 报 文 ,形成 广播 风暴 。 
轻 则 影响 网 络 的 正常 运行 , 重 则 由 于 耗 用 过 量 的 网 络 带宽 和 主机 (如 路 由 器 、 交 换 机 等 ) 资 源 ， 
导致 网 络 瘫痪 。 将 这 种 利用 虚假 源 IP 地 址 进行 ICMP 报 文 传输 的 攻击 方法 称 为 Smurf 攻击 。 

为 了 防止 Smurf 攻击 ,在 路 由 器 .防火 墙 和 交换 机 等 网 络 硬件 设备 上 可 关闭 广播 组 播 
等 特性 。 对 于 位 于 网 络 关键 部 位 的 防火 墙 , 则 可 以 关闭 ICMP 数据 包 的 通过 


网 络 攻 击 与 防范 


地 人 小 


计算 机 网 络 安 全 技术 


另外 ,还 有 借助 TCP 三 次 握手 的 拒绝 服务 ,这 部 分 内 容 读 者 参看 本 书 第 5 章 的 相关 
章节 。 

7. 电子 邮件 炸弹 

电子 邮件 炸弹 (E-mail Bomb) 是 指 电子 邮件 的 发 送 者 利用 某 些 特殊 的 电子 邮件 软件 ， 
在 很 短 时 间 内 连续 不 断 地 将 大 容量 的 电子 邮件 发 送 给 同一 个 收 件 人 ,而 一 般 收 件 人 的 邮箱 
容量 是 有 限 的 ,同时 电子 邮件 服务 器 也 很 难 接收 这 些 数 以 千 万 计 的 大 容量 信件 ,其 结果 是 导 
致电 子 邮 件 服务 器 不 堪 重 负 , 最 终 衣 省 。 

电子 邮件 炸弹 是 最 古老 .最 简单 的 一 种 攻击 方法 ,也 是 最 有 效 的 方法 之 一 。 当 一 台 或 多 
台 计算 机 向 某 一 台 邮 件 服务 器 不 断 发 送 大 容量 的 电子 邮件 时 , 轻 则 耗 尽 接收 者 的 网 络 带宽 ， 
重 则 使 邮件 服务 器 瘫痪 。 防 范 电子 邮件 炸弹 的 有 效 方法 是 在 邮件 服务 器 或 防火 墙 设备 上 进 
行 相关 的 设置 ,使 其 自动 删除 来 自 同 一 台 主 机 的 过 量 或 重复 的 邮件 。 


7.1.3 利用 型 攻击 


利用 型 攻击 是 一 类 试图 直接 对 用 户 的 主机 进行 控制 的 攻击 方法 ,最 常见 的 有 以 下 三 种 。 

1. 口令 攻击 

口令 (也 称 “ 密 码 ”) 是 网 络 安 全 的 第 一 道 防线 ,但 从 目前 的 技术 来 看 ,口令 已 没有 足够 的 
安全 性 ,各 种 针对 口令 的 攻击 不 断 出 现 。 所 谓 口 令 攻 击 是 指 通 过 猜测 或 获取 口令 文件 等 方 
式 获 得 系统 认证 口令 ,从 而 进入 系统 。 目 前 ,网 络 中 存在 的 弱 口令 (也 称 为 危险 口令 ) 主 要 有 
用 户 名 ,用户 名 的 变形 .生日 .常用 的 英文 单词 .5 个 字符 以 下 长 度 的 口令 、 空 口令 或 系统 默 
认 的 口令 (如 Admin .manager 和 supervisor 等 ) 。 

攻击 者 在 识别 了 一 台 主 机 ,并 且 发 现 了 基于 NetBIOS .Telnet 或 NFS 等 服务 的 可 利用 
的 用 户 账号 的 口令 时 , 便 会 实现 对 主机 的 控制 。 有 效 的 防范 方法 是 选用 难以 猜测 的 口令 , 关 
闭 主 机 上 不 需要 的 NFS、NetBIOS 和 Telnet 等 服务 。 

2. 特洛伊 木马 

特洛伊 木马 是 一 个 包含 在 合法 程序 中 的 非法 程序 。 该 非法 程序 在 用 户 不 知情 的 情况 下 
被 执行 。 特 洛 伊 木马 的 名 称 源 于 古 希 腊 的 特洛伊 木马 神话 ,传说 希腊 人 围攻 特洛伊 城 ,久久 
不 能 得 手 。 后 来 想 出 了 一 个 木马 计 , 让 士兵 藏匿 于 巨大 的 木马 中 。 大 部 队 假 装 撤 退 而 将 木 
马 气 弃 于 特洛伊 城 , 让 敌人 将 其 作为 战利品 拖 入 城内 。 木 马 内 的 士兵 则 乘 夜 晚 敌 人 庆祝 胜 
利 、 放 松 警 惕 的 时 候 从 木马 中 疏 出 来 ,与 城 外 的 部 队 里 应 外 合 而 攻 下 了 特洛伊 城 。 

一 般 的 木马 都 有 客户 端 和 服务 器 端 两 个 执行 程序 ,其 中 客户 端 用 于 攻击 者 远程 控制 植 
入 木马 的 机 器 ,服务 器 端 程序 即 木 马 程序 。 攻 击 者 要 通过 木马 攻击 用 户 的 系统 ,所 做 的 第 一 
步 工作 是 要 把 木马 的 服务 器 端 程序 植 人 到 用 户 的 计算 机 中 。 有 关 特 洛 伊 木 马 的 相关 知识 已 
在 本 书 第 6 章 进 行 了 详细 介绍 ,在 此 不 再 袭 述 。 

3. 缓冲 区 溢出 

缓冲 区 溢出 攻击 利用 了 目标 程序 的 缓冲 区 溢出 漏洞 ,通过 操作 目标 程序 堆栈 并 暴力 改 
写 其 返回 地 址 ,从 而 获得 目标 控制 权 。 缓 冲 区 溢出 的 工作 原理 是 : 攻击 者 向 一 个 有 限 空间 
的 缓冲 区 中 复制 过 长 的 字符 串 , 这 时 可 能 产生 两 种 结果 . 一 是 过 长 的 字符 串 覆 盖 了 相 邻 的 
存储 单元 而 造成 程序 瘫痪 ,甚至 造成 系统 崩溃 ; 二 是 可 让 攻击 者 运行 恶意 代码 ,执行 任意 指 
令 , 甚 至 获得 管理 员 用 户 的 权限 等 。 


利用 缓冲 区 溢出 漏洞 而 发 起 的 攻击 非常 普遍 。 例 如 ,1988 年 ,美国 康 奈 尔 大 学 计算 机 
科学 系 23 岁 的 研究 生 莫 里 斯 ,他 利用 UNIX fingered 程序 不 限制 输入 长 度 的 漏洞 ,输入 512 
个 字符 后 使 缓冲 器 溢出 。 莫 里 斯 又 写 了 一 段 特别 大 的 程序 使 他 的 恶意 程序 能 以 root( 根 ) 身 
份 执 行 ,并 感染 到 其 他 机 器 上 。 另 外 , 曾 破坏 过 大 量 数 据 库 系统 的 SQL Slammer 蠕虫 王 ,也 
是 利用 未 及 时 更 新 补丁 的 MS SQL Server 数据 库 缓冲 区 溢出 漏洞 ,采用 不 正确 的 方式 将 数 
据 发 到 MS SQL Server 的 监听 端口 ,引起 缓冲 溢出 攻击 。 


7.1.4 ”信息 收集 型 攻击 


与 前 面 介绍 的 拒绝 服务 攻击 不 同 , 信 息 收 集 型 攻击 并 不 对 目标 主机 本 身 造成 危害 ,而 是 
将 目标 主机 作为 一 个 跳板 ,用 来 对 其 他 主机 进行 攻击 。 信 息 收集 型 攻击 主要 包括 扫描 技术 、 
体系 结构 刺探 和 利用 信息 服务 等 类 型 。 

1. 扫描 技术 

扫描 技术 主要 分 为 两 类 : 主机 安全 扫描 技术 和 网 络 安全 扫描 技术 ,其 中 网 络 安全 扫描 
技术 主要 针对 系统 中 存在 的 弱 口 令 或 与 安全 规则 相抵 触 的 对 象 进行 检查 ; 而 主机 安全 扫描 
技术 则 是 通过 执行 一 些 脚本 文件 ,对 系统 进行 模拟 攻击 ,同时 记录 系统 的 反应 ,从 而 发 现 其 
中 的 漏洞 。 常 见 的 扫描 技术 主要 有 端口 扫描 和 漏洞 扫描 。 

1) 端口 扫描 技术 

一 个 端口 就 是 一 个 潜在 的 通信 通道 ,也 是 一 个 人 侵 通 道 。 对 目标 主机 进行 端口 扫描 ,能 
得 到 许多 有 用 的 信息 。 根 据 TCP 协议 规范 , 当 一 台 主 机 收 到 一 个 TCP 连接 建立 请 求 报 文 
(TCP SYN) 时 ,需要 做 以 下 的 工作 : 如 果 请 求 的 TCP 端口 是 开放 的 , 则 返回 一 个 TCP 
ACK 确认 报 文 , 并 建立 TCP 连接 控制 结构 (TCB); 如 果 请 求 的 TCP 端口 没有 开放 , 则 返 
回 一 个 TCP RST(TCP 头 部 中 的 RST 标志 设 为 1) 报 文 , 告 诉 TCP 连接 的 发 起 端 该 端口 没 
有 开放 。 

与 TCP 相似 ,如 果 主 机 收 到 一 个 UDP 报 文 ,需要 进行 以 下 的 工作 : 如 果 该 报 文 的 目标 
端口 开放 , 则 把 该 UDP 报 文 上 交 给 其 上 层 协 议 进行 处 理 ,由 于 UDP 为 面向 非 连接 的 协议 ， 
所 以 它 并 不 返回 任何 报 文 ; 如 果 该 报 文 的 目标 端口 没有 开放 , 则 向 UDP 信息 的 发 送 者 返回 
一 个 ICMP 不 可 到 达 的 报 文 ,告诉 发 送 方 该 UDP 报 文 的 端口 不 可 到 达 。 

利用 这 个 原理 ,攻击 者 便 可 以 通过 发 送 合适 的 报 文 来 判断 目标 主机 哪些 TCP 或 UDP 
端口 是 开放 的 ,过 程 如 下 。 

@ 发 出 TCP SYN 或 UDP 报 文 , 端 口号 从 0 开始 ,一 直到 65535 。 

@ 如 果 收 到 了 针对 这 个 TCP 报 文 的 RST 报 文 ,或 针对 这 个 UDP 报 文 的 ICMP 不 可 
到 达 的 报 文 , 则 说 明 这 个 端口 没有 开放 。 

@ 如 果 收 到 了 针对 这 个 TCP SYN 报 文 的 ACK 报 文 ,或 者 没有 接收 到 任何 针对 该 
UDP 报 文 的 ICMP 报 文 , 则 说 明 该 TCP 或 UDP 端口 可 能 是 开放 的 。 

通过 以 上 操作 , 便 可 以 很 容易 地 判断 出 目标 主机 开放 了 哪些 TCP 或 UDP 端口 ,然后 利 
用 端口 进行 一 下 步 的 攻击 。 

2) 漏洞 扫描 技术 

漏洞 扫描 主要 通过 以 下 两 种 方法 来 检查 目标 主机 是 否 存在 漏洞 : 在 端口 扫描 后 得 知 目 
标 主 机 开启 的 端口 及 端口 上 的 网 络 服务 ,将 这 些 相关 信息 与 网 络 漏洞 扫描 系统 提供 的 漏洞 
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库 进行 匹配 ,查看 是 否 有 满足 匹配 条 件 的 漏洞 存在 ; 通过 模拟 黑客 的 攻击 手法 ,对 目标 主机 
系统 进行 攻击 性 的 安全 漏洞 扫描 ,如 测试 弱 口 令 等 。 如 果 模 拟 攻 击 成 功 , 则 表明 目标 主机 系 
统 存在 安全 漏洞 。 

2. 体系 结构 探测 

体系 结构 探测 ,是 指 攻 击 者 使 用 具有 已 知 响应 类 型 的 数据 库 的 自动 工具 ,对 来 自 目 标 主 
机 的 响应 进行 检查 ,从 而 探测 到 目标 主机 的 操作 系统 、 数 据 库 的 类 型 和 版 本 等 信息 ,为 进 一 
步 和 人 侵 作 好 准备 。 例 如 ,在 Windows 2000/2003 操作 系统 中 对 TCP/IP 协议 的 实现 与 
Solaris 有 所 不 同 , 所 以 每 种 操作 系统 都 有 其 独特 的 响应 方法 。 攻 击 者 在 获得 独特 的 响应 
后 ,再 与 数据 库 中 已 知 的 响应 进行 对 比 , 便 可 以 确定 出 目标 主机 所 运行 的 操作 系统 。 

3. 利用 信息 服务 

利用 信息 服务 中 最 有 代表 性 的 是 finger 服务 。finger 是 计算 机 网 络 中 最 古老 的 协议 之 
一 ,用 于 提供 站 点 及 用 户 的 基本 信息 。 利 用 79 号 端口 ,通过 finger 服务 可 以 查询 到 网 站 上 的 
在 线 用 户 清单 及 其 他 一 些 有 用 的 信息 。 出 于 安全 考虑 ,目前 大 部 分 网 站 取消 了 finger 服务 ,不 
过 还 有 部 分 主机 仍然 在 继续 提供 finger 服务 。 在 UNIX 平台 上 ,finger 是 一 个 常用 的 工具 。 

由 于 finger 服务 一 般 都 是 提供 在 线 用 户 的 用 户 名 ,因此 入 侵 者 通过 finger 服务 可 以 方 
便 地 取得 有 效用 户 名 列表 ,然后 使 用 暴力 破解 等 方法 获得 用 户 的 账号 、 密 码 ,为 进一步 人 侵 
作 好 准备 。 


7.1.5 假 消 息 攻 击 


假 消 息 攻击 主要 包括 DNS 缓存 中 毒 和 伪造 电子 邮件 两 类 。 

1. DNS 缓存 中 毒 

由 于 DNS 服务 器 与 其 他 名 称 服务 器 交换 信息 的 时 候 并 不 进行 身份 验证 ,这 就 使 得 攻击 
者 可 以 将 不 正确 的 信息 加 入 其 中 并 把 用 户 引 向 攻击 者 自己 的 主机 。 

现代 计算 机 网 络 尤其 是 Internet 离 不 开 DNS 服务 。 为 了 提高 DNS 服务 器 的 工作 效 
率 , 绝 大 部 分 DNS 服务 器 都 能 够 将 DNS 查询 结果 在 答复 给 发 出 请 求 的 主机 之 前 保存 在 高 
速 缓存 中 。 但 是 ,如 果 DNS 服务 器 的 高 速 缓存 中 被 大 量 假 的 DNS 信息 所 “污染 ”, 用 户 的 请 
求 就 有 可 能 被 送 到 一 些 恶 意 或 不 健康 的 网 站 ,而 不 是 他 们 原本 要 访问 的 网 站 。 

绝 大 部 分 DNS 服务 器 都 能 够 通过 配置 来 阻止 缓存 中 毒 。 基 于 Windows Server 2003 
的 DNS 服务 器 默认 的 配置 状态 就 能 够 防止 缓存 污染 。 如 果 用 户 使 用 的 是 基于 Windows 
2000 的 DNS 服务 器 ,可 以 通过 配置 来 防止 缓存 污染 。 上 有 具体 方 法 是 : 选择 “开始 ”一 “程序 ”一 
“管理 工具 ”~>DNS, 打 开 DNS 服务 器 ,选取 DNS 服务 器 名 称 后 单 击 鼠 标 右键 ,在 弹出 的 快 
捷 菜 单 中 选择 “属性 ”命令 ,在 打开 的 如 图 7-3 所 示 的 “SERVERI 属性 ”对 话 框 中 选取 “服务 
器 选项 ?列表 框 中 的 “保护 缓存 防止 污染 复 选 项 ,然后 重新 启动 DNS 服务 器 即 可 。 

有 关 DNS 缓存 中 毒 的 详细 介绍 ,读者 可 参看 本 书 第 5 章 的 相关 内 容 。 

2. 伪造 电子 邮件 

在 发 送 电子 邮件 时 ,由 于 所 使 用 的 SMTP 协议 并 不 对 邮件 发 送 者 的 身份 进行 鉴别 , 因 
此 攻击 者 便 可 以 伪造 并 发 送 大 量 的 电子 邮件 。 这 些 电子 邮件 一 般 还 会 附 上 可 安装 的 特洛伊 
木马 程序 ,或 者 是 一 个 引 向 恶意 或 不 健康 网 站 的 链接 。 目 前 ,Internet 中 大 量 的 垃圾 邮件 都 
是 通过 伪造 电子 邮件 的 方式 来 发 送 的 。 
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图 7-3 ”选取 * 保 护 缓存 防止 污染 ”选项 


7.1.6 脚本 和 ActiveX 攻击 


脚本 (Script) 和 ActiveX 是 近年 来 随 着 Internet 的 广泛 使 用 而 出 现 的 攻击 方法 ,也 是 目 
前 危害 最 大 的 攻击 之 一 。 

1. 脚本 攻击 

脚本 是 一 种 可 执行 的 文件 ,常见 的 编写 脚本 的 语言 有 Java Script 和 VB Script。 脚 本 在 
执行 时 需要 由 一 个 专门 的 解释 器 来 翻译 成 计算 机 指令 ,然后 在 本 地 计算 机 上 运行 。 与 Java 
和 VB 等 编程 语言 相 比 ,脚本 编写 简单 ,但 功能 较为 强大 。 

脚本 的 另 一 个 重要 特点 是 可 以 直接 嵌入 到 Web 页 面 中 。 当 执行 一 些 静 态 Web 页 面 
时 ,脚本 与 之 共同 执行 ,可 实现 诸如 数据 库 查 询 和 修改 及 系统 信息 的 提取 等 操作 。 脚 本 在 带 
来 方便 和 强大 功能 的 同时 ,也 为 攻击 者 提供 了 方便 的 途径 。 攻 击 者 可 以 编写 一 些 对 系统 有 
破坏 性 的 脚本 ,然后 嵌入 到 HTML 的 Web 页 面 中 ,一 旦 这 些 页 面 被 下 载 到 本 地 计算 机 , 计 
算 机 便 会 以 当前 用 户 的 权限 执行 这 些 脚 本 。 当 前 用 户 所 具有 的 任何 权限 ,脚本 都 可 以 使 用 ， 
由 此 可 以 看 出 脚本 攻击 的 破坏 程度 很 强 。 

2.ActiveX 攻击 

ActiveX 是 建立 在 微软 公司 的 COM( 组 件 对 象 模型 ) 上 的 一 种 控件 对 象 , 而 COM 则 几 
乎 是 Windows 操作 系统 的 基础 结构 , 它 可 以 被 应 用 程序 加 载 ,以 完成 一 些 特定 的 功能 。 但 
需要 注意 的 是 ,这 种 对 象 控 件 不 能 自己 执行 ,因为 它 没 有 自己 的 进程 空间 ,而 只 能 由 其 他 进 
程 加 载 。 这 时 ,这些 控 件 便 在 加 载 进程 的 进程 空间 运行 ,类 似 于 操作 系统 的 可 加 载 模块 , 例 
如 dll 库 。 

ActiveX 控件 可 以 嵌入 在 Web 页 面 中 , 当 浏 览 器 下 载 这 些 页 面 到 本 机 后 ,相应 地 也 下 
载 了 嵌入 在 其 中 的 ActiveX 控件 ,这 样 这 些 控件 便 可 以 在 本 地 浏览 器 进程 空间 中 运行 。 因 
此 ,当前 用 户 的 权限 有 多 大 ,ActiveX 的 破坏 性 便 有 多 大 。 如 果 一 个 攻击 者 编写 一 个 含有 恶 
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意 代码 的 ActiveX 控件 ,然后 嵌入 在 Web 页 面 中 , 当 被 一 个 浏览 用 户 下 载 并 执行 后 ,将 会 对 
本 机 造成 破坏 。 

由 于 ActiveX 对 系统 的 操作 没有 严格 的 限制 ,所 以 如 果 一 旦 被 下 载 并 执行 ,就 可 以 像 安 
装 在 本 机 上 的 可 执行 程序 一 样 干 他 们 想 干 的 事情 。 针 对 这 一 特点 ,IE 浏览 器 也 作 了 某 些 限 
制 ,如 图 7-4 和 图 7-5 所 示 ,针对 那些 不 安全 的 站 点 ,在 正 浏览 器 的 默认 设置 中 将 不 允许 用 
户 进行 下 载 或 在 下 载 时 给 予 警 告 。 目 前 ,从 事 基 于 ActiveX 开发 的 公司 (如 VeriSign 公 
司 ) ,他 们 对 ActiveX 控件 进行 了 编号 。 当 用 户 在 下 载 控件 时 ,IE 浏览 器 会 给 用 户 提示 ,并 
显示 可 信赖 程度 ,由 用 户 决定 是 否 相信 这 个 控件 ,以 加 强 系统 的 安全 性 。 
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图 7-4 设置 正 浏览 器 的 安全 属性 图 7-5 设置 ActiveX 控件 和 插件 


在 实际 应 用 中 ,还 有 一 些 缺 乏 操作 经 验 的 用 户 , 他 们 有 时 会 不 自觉 地 对 ActiveX 安全 设 
置 进行 修改 ,让 ActiveX 控件 在 没有 任何 提示 的 情况 下 被 下 载 安装 ,为 网 络 安全 带 来 隐患 。 


7.2 ”DoS 和 DDoS 攻击 与 防范 


DoS(Denial of Servics ,拒绝 服务 ) 和 DDoS(Distributed Denial of Servics ,分布 式 拒绝 
服务 ) 是 两 种 常见 的 攻击 方式 ,虽然 实现 原理 比较 简单 ,但 产生 的 破坏 性 却 较 强 。 


7.2.1 DoS 攻击 的 概念 


DoS 攻击 是 一 种 实现 简单 但 又 很 有 效 的 攻击 方式 。DoS 攻击 的 目的 就 是 让 被 攻击 主机 
拒绝 用 户 的 正常 服务 访问 ,破坏 系统 的 正常 运行 ,最 终 使 用 户 的 部 分 Internet 连接 和 网 络 系 
统 失效 。 最 基本 的 DoS 攻击 就 是 利用 合理 的 服务 请 求 来 占用 过 多 的 服务 资源 ,从 而 使 合法 
用 户 无 法 得 到 服务 。DoS 攻击 的 原理 如 图 7-6 所 示 。 

从 图 7-6 可 以 看 出 ,在 DoS 攻击 过 程 中 ,首先 攻击 者 向 被 攻击 者 发 送 大 量 带 有 虚假 源 地 
址 的 服务 请 求 ,被 攻击 者 在 接收 到 请 求 后 返回 确认 信息 ,等 待 攻击 者 的 确认 ,此 过 程 需要 
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图 7-6 ”Dos 攻击 的 原理 


TCP 的 三 次 握手 。 由 于 攻击 者 所 发 送 的 请 求 的 源 地 址 是 虚假 的 ,所 以 被 攻击 者 无 法 接收 到 
确认 (第 三 次 握手 ) ,一 直 处 于 等 待 状态 ,而 分 配给 这 次 请 求 的 资源 却 始终 没有 被 释放 。 当 被 
攻击 者 等 待 一 定 的 时 间 后 ,连接 会 因 超时 而 被 断 开 ,这 时 攻击 者 还 会 再 度 传送 新 的 一 批 请 
求 。 在 此 过 程 中 ,被 攻击 者 的 资源 最 终 会 被 耗 尽 ,直到 瘫痪 。 


7.2.2 DDoS 攻击 的 概念 


DDoS 攻击 是 一 种 基于 DoS 攻击 ,但 实现 过 程 比较 特殊 的 拒绝 服务 攻击 方式 。DDoS 
是 一 种 分 布 ,协作 的 大 规模 攻击 方式 ,主要 用 于 对 一 些 大 型 的 网 站 或 系统 进行 攻击 。 因 为 
DoS 攻击 只 是 单机 对 单机 的 攻击 ,实现 方法 比较 简单 。 与 之 不 同 的 是 ,DDoS 攻击 是 利用 一 
批 受 控制 的 主机 向 一 台 主 机 发 起 攻击 ,其 攻击 的 强度 和 造成 的 威胁 要 比 DoS 攻击 严重 得 
多 ,当然 其 破坏 性 也 要 强 得 多 。DDoS 攻击 的 原理 如 图 7-7 所 示 。 


攻击 者 被 攻击 者 


和 
代理 服务 器 
图 7-7 DDoS 攻击 的 原理 


从 图 7-7 可 以 看 出 ,在 整个 DDoS 攻击 过 程 中 , 共 由 4 部 分 组 成 : 攻击 者 、 主 控 端 ,代理 
服务 器 和 被 攻击 者 ,其 中 每 一 个 组 成 在 攻击 中 扮演 不 同 的 角色 。 

(1) 攻击 者 。 是 指 在 整个 DDoS 攻击 中 的 主 控 台 , 它 负责 向 主 控 端 发 送 攻击 命令 。 与 
DoS 攻击 略 有 不 同 ,DDoS 攻击 中 的 攻击 者 对 计算 机 的 配置 和 网 络 带 宽 的 要 求 并 不 高 ,只 要 
能 够 向 主 控 端 正常 发 送 攻击 命令 即 可 。 

(2) 主 控 端 。 是 攻击 者 非法 侵入 并 控制 的 一 些 主机 ,通过 这 些 主机 再 分 别 控制 大 量 的 
代理 服务 器 。 攻 击 者 首先 需要 入 侵 主 控 端 ,在 获得 对 主 控 端 的 写 入 权限 后 ,在 主 控 端 主 机 上 
安装 特定 的 程序 ,该 程序 能 够 接受 攻击 者 发 来 的 特殊 指令 ,并 且 可 以 把 这 些 命令 发 送 到 代理 
服务 器 上 。 
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(3) 代理 服务 器 。 同 样 也 是 攻击 者 侵入 并 控制 的 一 批 主机 ,同时 攻击 者 也 需要 在 人 侵 
这 些 主机 并 获得 对 这 些 主机 的 写 人 权限 后 ,在 上 面 安装 并 运行 攻击 程序 ,接受 和 运行 主 控 端 
发 来 的 命令 。 代 理 服 务 器 是 攻击 的 直接 执行 者 ,真正 向 被 攻击 主机 发 送 攻击 。 

(4) 被 攻击 者 。 是 DDoS 攻击 的 直接 受害 者 ,目前 多 为 一 些 大 型 企业 的 网 站 或 数据 库 
系统 。 

在 整个 DDoS 攻击 过 程 中 ,攻击 者 发 起 DDoS 攻击 的 第 一 步 就 是 要 寻找 在 Internet 上 有 漏 
洞 的 主机 ,进入 系统 后 安装 后 门 程序 ,攻击 者 入 侵 的 主机 越 多 ,参与 攻击 的 主机 也 就 越 多 。 第 
二 步 是 在 入 侵 主 机 上 安装 攻击 程序 ,其 中 一 部 分 主机 充当 攻击 的 主 控 端 ,一 部 分 主机 充当 攻击 
的 代理 服务 器 。 最 后 各 部 分 主机 各 司 其 职 ,在 攻击 者 的 统一 指挥 下 对 被 攻击 主机 发 起 攻击 。 
由 于 攻击 者 在 幕后 操纵 ,所 以 在 攻击 时 不 会 受到 监控 系统 的 跟踪 ,身份 不 容易 被 发 现 。 


7.2.3 利用 软件 运行 缺陷 的 攻击 和 防范 


在 实际 应 用 中 没有 一 款 软件 在 安全 特性 上 是 十 全 十 美的 ,任何 一 款 软件 都 存在 这 样 或 
那样 的 缺陷 ,其 中 有 些 缺 陷 在 其 运行 过 程 中 被 反映 出 来 。 如 果 这 些 缺 陷 被 攻击 者 发 现 ,就 会 
用 来 进行 攻击 。 由 于 软件 在 开发 过 程 中 对 某 种 特定 类 型 的 报 文 或 请 求 没 有 进行 较 好 的 处 
理 , 导 致 这 些 软件 在 遇 到 这 种 类 型 的 报 文 时 将 会 出 现 异 常 , 导 致 软件 本 身 或 系统 崩溃 。 这 类 
攻击 有 其 特殊 性 , 故 在 这 里 进行 单独 介绍 。 

利用 软件 运行 缺陷 进行 DoS 攻击 的 工具 主要 有 teardrop 攻击 (如 teardrop. c、boink. c 
和 bonk.c 等 )、.LAND 攻 击 和 ICMP 碎片 包 攻 击 等 , 男 外 还 有 针对 Cisco 路 由 器 IOS 
version 12.0(10) 远 程 拒绝 服务 攻击 的 专用 工具 等 。 这 些 攻击 都 是 利用 了 被 攻击 软件 在 实 
现 过 程 中 存在 的 缺陷 而 进行 的 。 例 如 ,teardrop. ec 攻击 工具 可 通过 以 下 的 命令 对 其 他 主机 
进行 DoS 攻击 。 

teardrop 一 源 IP 二 目标 IP> [-s 源 端口 ] [-d 目的 端口 ] [-n 次 数 ] 


从 Windows NT 开始 , 当 系 统 未 及 时 安装 补丁 程序 时 ,就 可 以 使 用 一 些 专用 工具 进行 
DoS 攻击 。 例 如 , SMBdie. exe 就 是 针对 Windows 的 SMB 实现 的 DoS 攻击 ,可 以 对 
Windows NT/2000/XP/2003 NetBIOS(139) 进 行 攻击 ,该 工具 在 局 域 网 中 使 用 非常 有 效 ， 
操作 界面 如 图 7-8 所 示 。 


SMBdie v0,1 


What is SMBdie ? 
ts a proof of concept tool. 
@ sit possible to crash Windows computers by 


sending a specialy crafted SMB request 


What computers aie vulnerable ? 
Windows NT/2k/XP/.NET RC1 with NETBIOS 


图 7-8 SMBdie 攻击 界面 


SMB(Server Message Block ,服务 器 信息 块 ) 用 于 在 Windows 操作 系统 中 实现 资源 共 
享 , 包 括 共享 文件 ,文件 夹 .磁盘 和 打印 机 等 ,在 某 些 情况 下 其 至 可 以 共享 COM 端口 。 一 个 
SMB 客户 机 或 服务 器 可 以 和 多 种 机 器 和 网 络 相 互 连 接 。 

从 上 面 的 介绍 可 以 看 出 ,这 种 攻击 行为 威力 很 大 ,而 且 难 于 察觉 。 不 过 ,由 于 这 种 攻击 
主要 是 针对 软件 运行 中 的 缺陷 而 实现 的 ,所 以 对 于 用 户 来 说 最 有 效 的 防范 这 类 DoS 攻击 的 
方法 是 及 时 安装 软件 的 补丁 程序 。 例 如 ,对 于 大 家 普遍 使 用 的 MS SQL Oracle 等 数据 库 ， 
建议 能 够 及 时 安装 相应 的 补丁 程序 ,以 防止 DoS 攻击 ,增强 其 运行 的 安全 性 。 


7.2.4 利用 防火 墙 防范 DoS/DDoS 攻击 


DoS 攻击 是 一 种 很 简单 但 又 很 有 效 的 网 络 攻击 方式 , 它 可 以 利用 合理 的 服务 请 求 来 占 
用 对 方 过 多 的 服务 资源 ,从 而 使 合法 用 户 无 法 得 到 服务 。DDoS 攻击 是 一 种 基于 DoS 的 特 
殊 形 式 的 拒绝 服务 攻击 方式 ,攻击 者 通过 事先 控制 大 批 主 控 端 和 代理 服务 器 (将 主 控 端 和 代 
理 服务 器 通常 称 为 “ 倪 偶 机 ”) ,并 控制 这 些 主机 同时 发 起 对 目标 主机 的 DoS 攻击 ,具有 较 大 
的 破坏 性 。 

从 实际 应 用 来 看 ,防火 墙 是 抵御 DoS/DDoS 攻击 最 有 效 的 设备 。 因 为 防火 墙 的 主要 功 
能 之 一 就 是 在 网 络 的 关键 位 置 对 数据 包 进 行 相应 的 检测 ,并 判断 数据 包 是 否 被 放行 。 下 面 
说 明 防 火 墙 在 各 种 网 络 环境 中 对 DoS/DDoS 攻击 的 有 效 防范 方法 。 

1. 通过 基于 状态 的 资源 控制 来 保护 内 网 资源 

目前 绝 大 多 数 主 流 防 火 墙 ( 如 Cisco PIX、NetScreen 和 SmartHammer 等 ) 都 支持 IP 
Inspect(IP 检测 ) 功 能 ,防火 墙 会 对 进入 防火 墙 的 信息 进行 严格 的 检测 。 这 样 ,各 种 针对 系 
统 漏洞 的 攻击 包 ( 如 前 面 介绍 的 Ping of Death、TearDrop 等 ) 会 自动 被 系统 过 滤 掉 ,从 而 保 
护 了 网 络 免 受 来 自 于 外 部 的 漏洞 攻击 。 对 防火 墙 产 品 来 说 ,资源 是 十 分 宝贵 的 , 当 受 到 外 来 
的 DDoS 攻击 时 ,系统 内 部 的 资源 全 都 被 攻击 数据 包 所 占用 ,此 时 正常 的 服务 请 求 和 响应 肯 
定 会 受到 影响 。 防 火 墙 基于 状态 的 资源 控制 会 自动 监视 网 络 内 所 有 的 连接 状态 , 当 发 现存 
在 连接 长 时 间 但 还 未 得 到 应 答 的 处 于 半 连 接 状态 ( 即 未 完成 第 三 次 握手 ) 的 数据 包 超 过 预 设 
置 的 范围 时 ,就 判断 有 可 能 遭受 到 了 DoS/DDoS 攻击 ,从 而 清除 所 有 的 半 连 接 状态 。 另 外 ， 
在 此 过 程 中 还 可 以 通过 以 下 的 策略 来 优化 系统 配置 。 

(1) 有 些 防火 墙 可 以 控制 连接 与 半 连 接 的 超时 时 间 ,必要 时 还 可 以 缩短 半 连 接 的 超时 
时 间 ,以 加 速 半 连 接 的 老化 。 

(2) 限制 系统 各 个 协议 的 最 大 连接 数 ,保证 协议 的 连接 总 数 不 超过 系统 限制 值 ,在 达到 
连接 值 的 上 限 后 自动 删除 新 建 的 连接 。 

(3) 针对 源 或 目标 IP 地 址 做 流量 限制 。 检 测 功能 可 以 限制 每 个 IP 地 址 的 资源 ,用 户 
在 资源 控制 范围 内 的 使 用 并 不 会 受到 任何 影响 。 但 当 用 户 感染 了 蠕虫 病毒 或 发 送 攻击 报 文 
时 ,针对 流 的 资源 控制 可 以 限制 每 个 IP 地 址 发 送 的 连接 数目 ,超过 限制 的 连接 将 被 丢弃 。 
这 种 做 法 可 以 有 效 地 抑制 病毒 产生 攻击 的 效果 ,避免 其 他 正常 使 用 的 用 户 受 到 影响 。 

(4) 单位 时 间 内 如 果 穿 过 防火 墙 的 “同类 ”数据 流 超过 已 设置 的 上 限 值 后 ,可 以 设 定 对 
该 类 数据 流 进 行 阻 断 。 这 样 可 以 有 效 防御 对 于 IP ICMP 和 UDP 等 非 连接 的 泛 洪 攻击 。 

2. 防范 SYN 泛 洪 

SYN 泛 洪 (SYN Flood) 是 DDoS 攻击 中 危害 性 最 强 也 是 最 难 防范 的 一 种 攻击 方法 。 
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SYN 泛 洪 攻击 利用 TCP 协议 缺陷 ,发 送 大 量 伪 造 的 TCP 连接 请 求 , 从 而 使 得 被 攻击 方 资 
源 耗 尽 (CPU 满 负 荷 或 内 存 不 足 )。 不 同 品牌 的 防火 墙 处 理 SYN flood 攻击 的 方法 可 能 存 
在 实现 细节 上 的 不 同 。 例 如 ,SmartHammer 系列 防火 墙 便 利用 智能 TCP 代理 技术 来 判断 
连接 的 合法 性 ,从 而 保护 网 络 资源 ,其 工作 原理 如 图 7-9 所 示 。 


入 侵 模式 高 荨 天线、 下 TP 业务 这 所 
统 齐 | 
入 侵 模 式 低 警 下 线 CA 
Tcp 代 理 巾 动 警 基线 B. 正 常 进 TCP 代 理 模式 


A. 没 有 启动 TCP 代 理 
图 7-9 TCP 代理 技术 的 工作 原理 


从 图 7-9 可 以 看 出 ,防火 墙 正常 工作 时 并 不 会 立即 开启 TCP 代理 (以 免 影响 速度 ) ,只 
有 当 网 络 中 的 TCP 半 连 接 数 量 达 到 系统 设置 上 限 (TCP 代理 启动 警戒 线 ) 时 ,正常 的 TCP 
Intercept 才 会 自动 启动 ,并 且 当 系统 的 TCP 半 连 接 超过 系统 TCP Intercept 高 警戒 线 时 ， 
系统 进入 入 侵 模 式 ,此 时 新 建立 的 连接 会 覆盖 原 有 的 TCP 连接。 此 后 ,系统 全 连接 数 增多 ， 
半 连 接 数 减 小 , 当 半 连接 数 降 到 入 侵 模式 低 警 戒 线 时 ,系统 退出 人 侵 模式 。 如 果 此 时 攻击 停 
止 , 系 统 半 连 接 数 量 逐 渐 降 到 TCP 代理 启动 警戒 线 以 下 ,智能 TCP 代理 模块 停止 工作 。 通 
过 智能 TCP 代理 可 以 有 效 防止 SYN 泛 洪 攻击 ,保证 网 络 资源 安全 。 

3. 利用 NetFlow 对 DoS 攻击 和 病毒 监测 

在 介绍 NetFlow 之 前 , 先 来 介绍 一 下 Flow。Flow 是 网 络 设备 厂商 为 了 在 设备 内 部 提 
高 路 由 转发 速度 而 引入 的 一 项 技术 ,其 本 意 是 将 高 CPU 消耗 的 路 由 表 软 件 查询 匹配 作业 
部 分 转移 到 硬件 实现 的 快速 转发 模块 上 (如 Cisco 的 CEF 模式 ) 。 在 这 种 功能 模式 中 ,数据 
包 将 通过 几 个 给 定 的 特征 定义 合并 到 特定 的 集合 中 ,这 个 集合 就 是 Flow。 目 前 ,Flow 数据 
被 广泛 用 于 高 端 网 络 流量 测量 技术 中 ,以 提供 网 络 监控 ,流量 图 式 分 析 应 用 业务 定位 、 网 络 
规划 ,快速 排 错 、 安 全 分 析 ( 如 DDoS 攻击 ) 和 域 间 记 账 等 数据 挖掘 功能 。 在 实际 软件 实现 
中 ,Flow 所 包含 的 字段 定义 及 数量 将 会 随 着 厂商 甚至 协议 版 本 的 不 同 而 出 现 变化 ,业界 因 
此 也 相应 出 现 了 各 种 不 同 的 实现 版 本 。 而 在 这 些 不 同 的 Flow 版 本 中 ,NetFlow 得 益 于 
Cisco 公司 在 网 络 设 备 行业 内 的 领先 地 位 而 获得 最 大 范围 的 认同 ,为 此 目前 多 使 用 
NetFlow。 

网 络 监控 在 抵御 DoS/DDoS 攻击 中 有 着 重要 的 意义 。 目 前 主流 的 防火 墙 一 般 都 支持 
NetFlow 功能 , 它 将 网 络 交换 中 的 数据 包 识别 为 流 的 方式 加 以 记录 ,并 封装 为 UDP 数据 包 
发 送 到 分 析 器 上 ,这 样 就 为 网 络 管理 .流量 分 析 和 监控 .入 侵 检测 等 提供 了 丰富 的 信息 来 源 。 
可 以 在 不 影响 转发 性 能 的 同时 记录 ,发 送 NetFlow 信息 ,并 能 够 利用 网 络 安全 管理 平台 对 
接收 到 的 资料 进行 分 析 、 处 理 。 利 用 NetFlow 可 以 完成 以 下 的 操作 。 

(1) 监视 网 络 流量 。 防 火 墙 可 以 有 效 地 抵御 DoS/DDoS 攻击 , 当 攻 击 流 数量 已 经 完全 
占据 了 带宽 时 ,虽然 防火 墙 已 经 通过 安全 策略 把 攻击 数据 包 丢 弃 , 但 由 于 攻击 数据 包 已 经 占 
据 了 所 有 的 网 络 带 宽 , 正 常 的 用 户 访问 依然 无 法 完成 。 此 时 网 络 的 流量 是 很 大 的 ,防火 墙 可 
以 利用 内 置 的 NetFlow 统计 分 析 功 能 ,查找 攻击 流 的 数据 源 , 并 告知 网 络 管理 员 ,对 数据 流 
分 流 或 导入 黑洞 路 由 。 通 过 在 防火 墙 相关 接口 (一 般 为 外 网 连接 接口 ,也 可 以 是 内 网 连接 接 
口 ) 中 开启 NetFlow 采集 功能 ,并 设置 NetFlow 输出 服务 器 地 址 ,这 样 就 可 以 利用 安全 管理 


平台 对 接收 的 信息 进行 分 析 处 理 , 并 以 此 为 标准 , 当 发 现 网 络 流量 异常 的 时 候 ,就 可 以 利用 
NetFlow 有 效 地 查找 .定位 DDoS 攻击 的 来 源 。 

(2) 监视 蠕虫 。 防 止 蠕虫 的 攻击 ,重要 的 是 防止 蠕虫 病毒 的 入侵 ,只 有 尽早 发 现 , 才 可 
以 迅速 采取 措施 有 效 阻止 。 各 种 蠕虫 在 感染 了 系统 后 ,为 了 传播 自身 ,会 主动 向 外 发 送 特定 
的 数据 包 并 扫描 相关 端口 。 目 前 主流 的 防火 墙 多 集成 了 蠕虫 查询 模板 ,定期 查询 , 当 发 现 了 
匹配 的 蠕虫 时 ,可 以 分 析 该 地 址 是 否 已 经 感染 了 病毒 ,然后 采取 相应 的 措施 。 


7.3 IDS 技术 及 应 用 


随 着 网 络 安全 技术 的 发 展 , 入 侵 检 测 系统 (Intrusion Detection System,IDS) 在 网 络 环 
境 中 的 应 用 越 来 越 普遍 。 本 节 将 介绍 人 侵 检测 技术 的 相关 概念 、 信 息 的 采集 ,规则 的 建立 和 
实现 等 内 容 。 


7.3.1 IDS 的 概念 及 功能 


国家 标准 GB/T 18336《 信 息 技术 安全 性 评估 准则 》 对 入 侵 检测 (intrusion detection) 的 
定义 为 “通过 对 行为 ,安全 日 志 或 审计 数据 或 其 他 网 络 上 可 以 获得 的 信息 进行 操作 ,检测 到 
对 系统 的 冯 入 或 间 入 的 企图 ”。 入 侵 检 测 技术 是 为 保证 计算 机 系统 的 安全 而 设计 与 配置 的 
一 种 能 够 及 时 发 现 并 报告 系统 中 未 授权 或 异常 现象 的 技术 ,是 一 种 用 于 检测 计算 机 网 络 中 
违反 安全 策略 行为 的 技术 。 进 行人 侵 检 测 的 软件 与 硬件 的 组 合 便 是 入 侵 检测 系统 。 

1. 人 侵 检测 的 功能 

入 侵 检测 的 功能 如 下 。 

(1) 监督 并 分 析 用 户 和 系统 的 活动 。 

(2) 检查 系统 配置 和 漏洞 。 

(3) 检查 关键 系统 和 数据 文件 的 完整 性 。 

(4) 识别 代表 已 知 攻击 的 活动 模式 。 

(5) 对 反常 行为 模式 的 统计 分 析 。 

(6) 对 操作 系统 的 校 验 管理 ,判断 是 否 有 破坏 安全 的 用 户 活动 。 

2. 人 侵 检测 系统 的 特点 

入 侵 检测 系统 的 使 用 特点 如 下 。 

(1) 提高 信息 安全 体系 整体 的 完整 性 。 

(2) 提高 系统 的 监察 能 力 。 

(3) 跟踪 用 户 从 进入 到 退出 的 所 有 活动 或 影响 。 

(4) 识别 并 报告 数据 文件 的 改动 。 

(5) 发 现 系统 配置 的 错误 ,必要 时 予以 更 正 。 

(6) 识别 特定 类 型 的 攻击 ,并 向 相应 人 员 报警 , 以 作出 防御 反应 。 

(7) 可 使 系统 管理 人 员 能 够 将 最 新 的 版 本 升级 添加 到 程序 中 。 

(8) 为 信息 安全 策略 的 创建 提供 指导 。 

3. 人 侵 检 测 系统 存在 的 不 足 

入 侵 检测 系统 存在 的 不 足 如 下 。 

(1) 在 无 人 干预 的 情况 下 ,无 法 执行 对 攻击 的 检查 。 
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(2) 无 法 感知 公司 安全 策略 的 内 容 。 

(3) 不 能 弥补 网 络 协议 的 漏洞 。 

(4) 不 能 弥补 系统 提供 的 原始 信息 的 质量 缺陷 或 完整 性 问题 。 

(5) 不 能 分 析 网 络 繁忙 时 所 有 的 事务 。 

(6) 不 能 总 是 对 数据 包 级 的 攻击 进行 处 理 。 

(7) 不 能 应 付 现代 网 络 的 硬件 及 特性 。 

人 侵 检测 作为 一 种 积极 主动 的 安全 防护 技术 ,提供 了 对 内 部 攻击 、 外 部 攻击 和 误 操作 的 
实时 保护 ,在 网 络 系统 受到 危害 之 时 拦截 和 响应 人 侵 。 


7.3.2 IDS 中 的 相关 术语 


随 着 IDS 技术 的 发 展 ,与 之 相关 的 术语 相应 出 现 , 且 同 一 术语 也 在 发 生 着 不 同 程度 的 
变化 ,下 面 介 绍 与 IDS 技术 相关 的 一 些 基 本 术语 。 

1.Alerts( 报 血 ) 

当 一 个 人 侵 正 在 发 生 或 者 试图 发 生 时 ,IDS 系统 将 发 布 一 个 报警 信息 通知 系统 管理 员 。 
对 于 IDS 来 说 ,Alert 信息 一 般 是 通过 远程 控制 台 来 显示 。 其 中 ,IDS 与 远程 控制 台 之 间 可 
以 通过 SNMP( 简 单 网 络 管理 协议 ) .E-mail、SMS( 短 信息 ) 中 的 一 种 或 几 种 方式 中 的 多 种 方 
式 的 组 合 来 传递 给 管理 员 。 在 报警 中 ,可 分 为 错误 的 报警 和 正确 的 报警 两 种 。 其 中 ,错误 报 
警 又 分 为 误 报 和 漏 报 两 种 。 

(1) 误 报 。 当 IDS 工作 于 正常 的 状态 下 所 生产 的 报警 称 为 误 报 。 误 报 使 网 络 管理 员 浪 
费 宝贵 的 时 间 和 资源 来 分 析 根 本 不 存在 的 攻击 。 所 以 ,网 络 管理 员 需 要 正确 设置 IDS 的 报 
警 参 数 。 如 果 一 个 IDS 经 常 发 生 误 报 ,这 样 时 间 一 长 就 可 能 会 降低 管理 员 的 敏感 性 , 当 有 
正确 的 报警 产生 时 可 能 会 被 管理 员 玲 忽 , 或 处 理 不 及 时 。 此 现象 类 似 于 民间 传说 的 “ 狼 来 
了 ”的 故事 。 

(2) 漏 报 。IDS 对 已 知 的 入 侵 活动 未 产生 报警 的 现象 称 为 漏 报 。 漏 报 说明 IDS 虽然 在 
进行 攻击 的 检测 ,但 它 却 没有 命中 真正 的 攻击 。 大 多 数 IDS 都 通过 相关 技术 尽量 使 系统 避 
免 漏 报 , 但 完全 清除 漏 报 是 很 困难 的 ,基本 是 不 可 能 的 。 由 于 漏 报 会 导致 攻击 者 能 够 实现 攻 
击 过 程 ,但 IDS 却 没有 检测 到 ,这 对 网 络 系统 会 产生 严重 的 安全 威胁 。 一 般 情 况 下 , 漏 报 是 
因为 IDS 的 软件 缺陷 所 导致 的 。 

2. Attacks( 攻 击 ) 

Attacks 指 试图 渗透 系统 或 绕 过 系统 的 安全 策略 以 获取 信息 ,修改 信息 ,以 及 破坏 目标 
网 络 或 系统 功能 的 行为 。 下 面 列 出 的 是 IDS 能 够 检测 出 的 最 常见 的 Internet 攻击 类 型 。 

(1) DoS 攻击 (Denial of Service attack ,拒绝 服务 攻击 ) 。DosS 攻击 是 通过 一 种 直接 的 
破坏 方式 使 系统 瘫痪 ,或 使 系统 无 法 给 用 户 提供 正常 的 服务 。 

(2) DDoS 攻击 (Distributed Denial of Service attack, 分 布 式 拒 绝 服 务 攻 击 )。 因 为 
DoS 攻击 一 般 是 通过 一 台 主 机 来 攻击 另 一 台 远 程 主机 ,所 以 DoS 攻击 产生 的 效果 相对 较 
弱 。 而 DDoS 攻击 利用 了 分 布 式 系统 的 特点 ,攻击 者 通过 多 台 分 散 的 主机 向 一 台 目 标 主机 
发 动 攻击 , 耗 尽 远程 主机 的 资源 ,或 者 使 其 连接 失效 。 

(3) Smurf。 这 是 一 种 出 现 较 早 的 攻击 方式 ,攻击 者 使 用 被 攻击 主机 的 IP 地 址 来 伪装 
源 地 址 ,并 向 一 个 smurf 放大 器 (Smurf Amplifier) 的 广播 地 址 执行 ping 操作 ,然后 所 有 活 


动 主机 都 会 向 该 被 攻击 主机 发 送 应 答 信息 ,从 而 使 被 攻击 主机 中 断 网 络 连 接 。 

(4) Trojans( 特 洛 伊 木马 ) 。 在 计算 机 术语 中 ,木马 原本 是 指 那些 以 合法 程序 的 形式 出 
现 ,其 实 包 藏 了 恶意 软件 的 那些 软件 。 这 样 , 当 用 户 运行 合法 程序 时 ,在 不 知情 的 情况 下 , 恶 
意 软件 就 被 安装 并 运行 。 


7.3.3 IDS 的 分 类 


根据 不 同 的 标准 ,可 以 对 IDS 进行 不 同 的 分 类 。 下 面 主要 从 IDS 的 工作 原理 对 其 进行 
类 别 划分 。 根 据 实 现 技术 的 不 同 ,IDS 可 以 分 为 异常 检测 模型 . 误 用 检测 模型 和 混合 检测 模 
型 三 种 类 型 。 

1. 异常 检测 模型 

异常 检测 (anomaly detection) 模 型 主要 检测 与 可 接受 行为 之 间 的 偏差 。 如 果 可 以 预先 
定义 每 项 可 接受 的 行为 (如 对 HTTP 的 正常 访问 、 正 常 的 TCP 连接 及 正常 的 SMTP 协议 
使 用 等 ) ,那么 每 项 不 可 接受 的 行为 (如 TCP 半 连 接 状态 .大 量 连续 的 SMTP 连接 等 ) 就 应 
该 是 入 侵 。 首 先 总 结 正常 操作 应 该 具有 的 特征 (用 户 轮廓 ) , 当 用 户 活动 与 正常 行为 有 重大 
偏离 时 即 被 认为 是 入侵 。 这 种 检测 模型 的 漏 报 率 低 , 但 误 报 率 高 。 因 为 不 需要 对 每 种 人 侵 
行为 进行 定义 ,所 以 能 有 效 检测 未 知 的 入 侵 。 

2. 误 用 检测 模型 

误 用 检测 (misuse detection) 模 型 主要 检测 与 已 知 不 可 接受 行为 之 间 的 匹配 程度 。 如 
果 可 以 定义 所 有 的 不 可 接受 行为 ,那么 每 种 能 够 与 之 匹配 的 行为 都 会 引起 报警 。 收 集 非 正 
常 操 作 的 行为 特征 ,建立 相关 的 特征 库 , 当 监测 的 用 户 或 系统 行为 与 库 中 的 记录 相 匹 配 时 ， 
系统 就 认为 这 种 行为 是 人 侵 。 误 用 检测 型 检测 基于 已 知 的 系统 缺陷 和 入 侵 模式 ,所 以 又 称 
“特征 检测 模型 ”。 它 能 够 准确 地 检测 到 某 些 特征 的 攻击 ,但 却 过 度 依赖 事先 定义 好 的 安全 
策略 ,所 以 无 法 检测 系统 未 知 的 攻击 行为 ,从 而 产生 和 人 侵 或 攻击 的 漏 报 。 

3. 混合 检测 模型 

混合 检测 模型 是 对 异常 检测 模型 和 误 用 检测 模型 的 综合 。 近 几 年 来 ,混合 检测 模型 日 
益 受 到 人 们 的 重视 。 这 类 检测 在 做 出 决策 之 前 , 既 分 析 系 统 的 正常 行为 ,同时 还 观察 可 疑 的 
入 侵 行为 ,所 以 判断 结果 更 全 面 ,准确 和 可 靠 。 

混合 检测 并 不 为 不 同 的 入侵 行为 分 别 建立 模型 ,而 是 首先 通过 大 量 的 事例 学 习 什么 是 
入 侵 行为 及 什么 是 系统 的 正常 行为 ,发 现 描述 系统 特征 的 一 般 使 用 模式 ,然后 再 形成 对 异常 
和 误 用 都 适用 的 检测 模型 。 


7.3.4 IDS 的 信息 收集 


入 侵 检测 的 第 一 步 是 信息 收集 ,收集 内 容 包括 系统 .网络 ,数据 及 用 户 活 动 的 状态 和 行 
为 。 此 工作 由 放置 在 不 同 网 段 的 传感器 或 不 同 主机 上 的 代理 来 进行 ,包括 系统 和 网 络 日 志 
文件 .网 络 流量 及 非 正 常 的 目录 和 文件 改变 及 非 正常 的 程序 执行 等 。 

1. 信息 收集 的 方法 

就 准确 性 .可靠 性 和 效率 而 言 ,IDS 收集 到 的 信息 是 它 进行 检测 和 决策 的 基础 。 如 果 收 
集 信 息 的 时 延 太 大 ,很 可 能 在 检测 到 攻击 的 时 候 , 入 侵 者 已 经 完成 了 入 侵 过 程 ; 如 果 信 息 不 
完整 ,系统 的 检测 能 力 就 会 下 降 ; 如 果 信 息 本 身 不 正确 ,系统 就 无 法 检测 到 某 些 攻击 ,从 而 
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给 用 户 形成 一 种 不 真实 的 安全 感 。 所 以 研究 信息 收集 机 制 是 非常 重要 的 。 根 据 对 象 的 不 
同 ,信息 收 集 的 方法 包括 基于 主机 的 信息 收集 .基于 网 络 的 信息 收集 和 混合 型 信息 收集 三 种 
类 型 。 

1) 基于 主机 的 信息 收集 

系统 分 析 的 数据 是 计算 机 操作 系统 的 事件 日 志 、 应 用 程序 的 事件 日 志 、 系 统 调用 、 端 口 
调用 和 安全 审计 记录 。 主 机 型 入侵 检测 系统 保护 的 一 般 是 所 在 的 主机 系统 。 是 由 代理 
(agent) 来 实现 的 ,代理 是 运行 在 目标 主机 上 的 可 执行 程序 ,它们 与 命令 控制 台 (console) 通 
信 。 基 于 主机 的 IDS 部 署 如 图 7-10 所 示 。 

2) 基于 网 络 的 信息 收集 

系统 分 析 的 数据 是 网 络 上 的 数据 包 。 网 络 型 入 侵 检 测 系统 担负 着 保护 整个 网 段 的 任 
务 ,基于 网 络 的 人 侵 检测 系统 由 遍及 网 络 中 每 个 网 段 的 传感器 (sensor) 组 成 。 传 感 器 是 一 
台 将 以 太 网 卡 置 于 混杂 模式 的 计算 机 ,用 于 嗅 探 网 络 上 的 数据 包 。 基 于 网 络 的 IDS 部 署 如 
图 7-11 所 示 ( 当 单位 内 部 网 络 存在 多 个 网 段 时 ,建议 在 每 一 个 网 段 分 别 安装 一 个 传感器 ) 。 
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图 7-10 基于 主机 的 IDS 部 署 图 7-11 基于 网 络 的 IDS 部 署 


3) 混合 型 信息 收集 

混合 型 信息 收集 是 基于 网 络 的 信息 收集 和 基于 主机 的 信息 收集 的 有 机 结合 。 基 于 网 络 
的 信息 收集 和 基于 主机 的 信息 收集 都 存在 不 足 之 处 ,会 造成 防御 体系 的 不 全 面 ,而 混合 型 人 
侵 检测 系统 既 可 以 发 现 网 络 中 的 攻击 信息 ,也 可 以 从 系统 日 志 中 发 现 异 常情 况 。 

基于 网 络 的 数据 收集 有 时 会 比 基 于 主机 的 数据 收集 效果 更 好 ,尤其 是 主机 对 攻击 行为 
没有 反应 的 时 候 ( 例 如 ,攻击 数据 包 指向 的 端口 是 关闭 的 ) ,也 可 以 通过 终端 主机 网 络 协议 的 
底层 检测 到 这 些 攻 击 。 总 体 而 言 ,基于 主机 的 数据 收集 占有 一 定 的 优势 。 

Q 基于 主机 的 信息 收集 所 收集 到 的 数据 能 准确 反映 主机 上 发 生 的 情况 ,而 不 是 根据 从 
网 络 上 收集 到 的 数据 包 去 猜测 发 生 了 什么 事情 。 

@ 在 数据 流量 很 大 的 网 络 中 ,由 于 受 线路 的 影响 ,网 络 监视 器 经 常会 产生 丢 包 ,但 主机 


监视 器 则 可 以 报告 每 台 主 机 上 发 生 的 所 有 事件 。 

@ 基于 网 络 的 信息 收集 机 制 对 插入 攻击 和 规避 攻击 无 能 为 力 ,但 基于 主机 的 信息 收集 
就 不 存在 这 样 的 问题 , 它 能 够 处 理 主机 收 到 的 所 有 数据 。 

2. 直接 监控 与 间接 监控 

信息 收集 的 途径 分 为 直接 监控 和 间接 监控 。 

(1) 直接 监控 。 从 信息 生成 地 或 属地 直接 获取 数据 。 例 如 ,如 果 要 直接 监控 某 台 主 机 
的 CPU 负载 情况 ,就 需要 从 主机 相应 的 内 核 结 构 中 获取 数据 。 

(2) 间接 监控 。 从 能 反映 监控 目标 行为 的 数据 源 处 获取 数据 。 例 如 ,如 果 要 直接 监控 

台 主 机 的 CPU 负载 情况 ,间接 监控 可 以 通过 读 取 记录 CPU 负载 的 日 志文 件 ,完成 对 主 

机 CPU 负载 的 监控 。 

就 检测 人 侵 行为 而 言 ,直接 监控 要 优 于 间接 监控 ,原因 如 下 。 

(1) 从 非 直接 数据 源 获 取 的 数据 (如 审计 踪迹 ) 在 被 IDS 使 用 之 前 ,有 被 入 侵 者 修改 的 
潜在 可 能 。 尤 其 是 通过 未 加 密 的 以 明文 方式 传输 和 存储 的 数据 被 算 改 的 可 能 性 更 大 。 

(2) 非 直接 数据 源 可 能 无 法 记录 某 些 事件 。 

(3) 在 间接 监控 中 ,数据 一 般 都 是 通过 某 种 机 制 生 成 的 (如 编写 审计 踪迹 的 代码 ) ,但 那 
些 机 制 并 不 了 解 IDS 使 用 数据 的 具体 需求 。 因 此 ,从 间接 数据 源 获取 的 数据 量 总 是 非常 
大 ,一 个 C2 级 生成 的 审计 踪迹 可 能 包含 每 个 用 户 每 天 50 一 500KB 的 记录 ,对 于 一 个 中 等 规 
模 的 用 户 组 来 说 ,每 天 审计 踪迹 数据 可 能 会 有 好 几 百 兆 。 由 于 这 个 原因 ,IDS 在 使 用 间接 数 
据 源 时 ,通常 必须 消耗 大 量 的 资源 对 数据 进行 过 滤 和 精简 。 直 接 监控 方法 只 获取 它 需 要 的 
数据 ,所 以 生成 的 数据 量 相对 较 小 。 此 外 ,监控 组 件 自身 也 会 对 数据 进行 分 析 , 只 有 在 检测 
到 相关 事件 时 才 产 生 结 果 , 这 样 就 减少 了 数据 的 存储 量 。 

(4) 间接 监控 机 制 的 伸缩 性 差 。 因 为 当主 机 及 其 内 部 被 监控 要 素 的 数目 增加 时 ,过 滤 
数据 的 开销 会 降低 被 监控 主机 的 性 能 。 

(5) 间接 数据 源 常 常 在 数据 产生 和 IDS 访问 这 些 数据 之 间 有 一 个 时 延 ,而 直接 监控 的 
时 延 就 小 得 多 ,这 样 IDS 才能 据 此 做 出 更 及 时 的 响应 。 

3. 信息 收集 的 渠道 

IDS 目前 所 能 检测 到 的 大 部 分 人 侵 都 是 由 主机 上 的 活动 引起 的 ,如 执行 某 一 命令 .访问 
某 项 服务 并 提供 不 正确 的 数据 等 ,这 些 攻 击 活动 发 生 在 终端 机 上 ,有 时 通过 网 络 检测 也 可 以 
发 现 。 针 对 网 络 本 身 的 攻击 通常 都 是 数据 流 , 即 发 送 的 数据 量 超过 网 络 的 承受 能 力 , 以 至 于 
合法 数据 包 通 信 受 阻 。 但 在 终端 机 上 也 照样 可 以 检测 到 这 些 攻击 ,例如 通过 查看 主机 
ICMP 报 文 是 否 有 大 量 的 Echo-Request 分 组 ,也 可 以 检测 到 是 否 有 Ping 的 泛 洪 数 据 流 攻击 
发 生 。 入 侵 检测 利用 的 信息 一 般 来 自 以 下 4 个 方面 。 

1) 系统 和 网 络 日 志文 件 

攻击 者 经 常 在 系统 日 志文 件 中 留 下 他 们 的 踪迹 ,因此 充分 利用 系统 和 网 络 日 志文 件 信 
息 是 检测 入 侵 的 必要 条 件 。 日 志 中 包含 发 生 在 系统 和 网 络 上 的 不 寻常 和 不 期 望 活 动 的 证 
据 , 这 些 证 据 可 以 指出 有 人 正在 入 侵 或 已 成 功 人 侵 了 系统 。 通 过 查看 日 志文 件 , 能 够 发 现成 
功 的 人 侵 或 人 侵 企图 ,并 很 快 地 启动 相应 的 应 急 响 应 程序 。 日 志文 件 中 记录 了 各 种 行为 类 
型 ,每 种 类 型 又 包含 不 同 的 信息 。 例 如 记录 * 用 户 活动 ”类 型 的 日 志 , 就 包含 登录 .用户 ID 改 
变 、 用 户 对 文件 的 访问 、 授 权 和 认证 信息 等 内 容 。 很 显然 ,不 正常 的 或 不 期 望 的 用 户 行为 就 
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是 重复 登录 失败 、 登 录 到 不 期 望 的 位 置 及 非 授权 的 企图 访问 重要 文件 等 。 图 7-12 所 示 的 是 
通过 Windows Server 2003 的 “事件 查看 器 ”记录 的 相关 日 志 , 网 络 管理 员 要 养 成 经 常 查 看 
日 志 记 录 的 习惯 。 

四 事件 查看 器 

文件 (E) ”操作 (A) 查看 (W) 帮助 (HH) 


全 省 | 由 | 加 | 狠 辐 罗 | 多 
| 安全 性 4,165 个 事件 


LOCAL SEF 
LOCAL SEF 
NETWORK 


NETWORK _ 
村 | 


CU 
Securkty 
Security 
Securkty 
Securkty 
Security 
Security 
Securty 
Security 
Securkty 
Securky 
Securky 
Securkty 
Securkty 


图 7-12 Windows Server 2003 的 日 志 记 录 


2) 目录 和 文件 中 不 期 望 的 改变 

网 络 环境 中 的 文件 系统 包含 很 多 软件 和 数据 文件 ,保存 有 重要 信息 的 文件 经 常 是 入 侵 
者 获取 、 修 改 或 破坏 的 目标 。 目 录 和 文件 中 不 期 望 的 改变 (包括 修改 .创建 和 删除 ) ,很 可 能 
就 是 一 种 人 侵 产 生 的 指示 和 信号 。 对 于 FTP 服务 器 来 说 ,会 根据 不 同 的 用 户 来 对 指定 的 目 
标 分 配 相 应 的 权限 。 如 果 给 某 些 用 户 仅 指定 了 “ 读 取 ”权限 (如 图 7-13 所 示 ) ,但 却 发 现 该 用 
户 对 应 的 目录 下 产生 了 大 量 的 文件 或 文件 夹 , 这 很 可 能 就 是 有 入 侵 者 行为 发 生 。 

另外 ,出 于 安全 考虑 , 当 在 网 络 中 共享 某 些 资源 时 ,会 在 共享 名 后 加 $ 符号 以 对 共享 资 
源 进行 隐藏 ,这样 只 有 知道 完整 的 共享 名 称 的 用 户 才能 访问 ,如 图 7-14 所 示 。 但 是 ,如 果 发 
现 这 些 已 设置 了 隐藏 的 文件 夹 中 突然 出 现 了 一 些 不 明 的 文件 ,或 某 些 文件 被 修改 ,也 可 能 是 
入 侵 者 所 为 。 

3) 程序 执行 中 的 不 期 望 行为 

网 络 系统 上 的 程序 执行 一 般 包括 操作 系统 、 网 络 服务 和 特定 的 应 用 程序 。 每 个 在 系统 
上 执行 的 程序 对 应 一 到 多 个 进程 。 每 个 进程 的 执行 都 拥有 不 同 的 环境 ,特殊 的 环境 决定 了 
进程 可 访问 的 系统 资源 (如 硬盘 空间 、 外 设 等 ) ,程序 和 数据 文件 等 。 一 个 进程 的 运行 由 它 对 
应 的 操作 来 体现 ,操作 执行 的 方式 不 同 ,利用 的 系统 资源 也 就 不 同 。 操 作 包 括 计 算 、 文 件 传 
输 , 以 及 与 网 络 中 其 他 进程 的 通信 等 。 一 个 进程 出 现 了 不 期 望 的 行为 可 能 表明 攻击 者 正在 
入 侵 或 用 户 的 系统 已 被 人 侵 。 一 般 情 况 下 ,入 侵 者 在 进入 用 户 的 系统 后 ,为 了 安全 地 运行 后 
门 程序 ,会 将 该 程序 运行 时 进程 修改 为 系统 中 已 有 的 进程 。 所 以 ,对 于 熟悉 的 一 些 进程 的 运 
行 状态 也 要 引起 网 络 管理 员 的 关注 , 当 某 一 进程 出 现 异常 (如 CPU 占用 率 突然 持续 保持 在 
较 高 的 水 平 ) 时 ,就 要 查看 该 进程 提供 的 服务 。 
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图 7-13 对 用 户 的 指定 目录 权 设置 了 Read 权限 


mr 2 


常规 ”共享 | 安全 | 自 定义 | 
EE 弘 线 . 和 于 贡 本 贱 本 
个 不 共享 此 文件 末 如 
仓 共享 此 文件 夹 G@) 
共享 名 胡 : Center$ 
注释 C)。 。 隔 辣 共享 
用 户 数 限制 : CS 区 许 最 多 用 户 如 
斑 允许 的 用 P 数 最 m:  「 本 


| 


要 缕 存 (@) 


名 ndows 防火 墙 格 配置 为 允许 此 文件 来 与 网 络 上 其 他 计算 


图 7-14 对 共享 文件 夹 设置 隐藏 属性 


4) 物理 形式 的 人 侵 信息 


| Down: 0.000 kBps Up: 0.000 KBps | 5of 32767 Sockets |0(0) Users |0xfers 4 


物理 形式 的 入 侵 包括 未 授权 的 对 网 络 硬件 连接 和 对 物理 资源 的 未 授权 访问 。 入 侵 者 会 


利用 各 种 方法 进入 用 户 的 网 络 ( 一 般 为 内 部 网 络 ) ,然后 进行 各 种 非法 操作 ,如 安装 应 用 软 
件 、 修 改 系统 参数 和 删除 用 户 数据 等 。 例 如 ,现在 不 少 单位 和 家 庭 都 安装 了 无 线路 由 器 来 提 
供 无 线 上 网 服务 ,但 大 部 分 用 户 对 无 线路 由 器 的 用 户 接 入 即 没有 进行 用 户 认证 ,也 没有 进行 
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加 密 , 而 且 大 部 分 还 打开 了 DHCP 服务 ,只 要 入 侵 者 的 无 线 网 卡 设置 为 “自动 获取 IP” 地 址 ， 
就 可 以 通过 无 线路 由 器 来 访问 Internet 或 公司 的 内 部 网 络 。 


7.3.5 IDS 的 信息 分 析 


IDS 对 于 收集 到 的 各 类 信息 (如 系统 网络. 数据 及 用 户 活动 状态 和 行为 等 ) ,一 般 通过 
三 种 技术 手段 进行 分 析 : 模式 匹配 .统计 分 析 和 完整 性 分 析 。 其 中 前 两 种 方法 用 于 实时 的 
入 侵 检测 ,而 完整 性 分 析 则 用 于 事后 分 析 。 

1. 模式 匹配 

模式 匹配 就 是 将 收集 到 的 信息 与 IDS 数据 库 中 已 知 的 记录 进行 比较 ,从 而 发 现 违背 安 
全 策略 的 行为 ,并 将 此 行为 确定 为 人 侵 或 攻击 行为 。 该 过 程 的 实现 方法 多 种 多 样 , 例 如 可 以 
通过 简单 的 字符 串 的 匹配 来 完成 ,也 可 以 利用 复杂 的 数学 算法 来 进行 。 一 般 来 说 ,一 种 进攻 
模式 可 以 用 一 个 过 程 ( 如 执行 一 条 指令 ) 或 一 个 输出 (如 获得 权限 ) 来 表示 。 

模式 匹配 的 最 大 优点 是 只 需 收集 相关 的 数据 集合 ,系统 的 负担 较 小 , 且 技 术 已 相当 成 
熟 。IDS 的 模式 匹配 有 些 类 似 于 病毒 防火 墙 ,只 要 不 断 升级 各 类 攻击 的 数据 库 , 就 能 够 实现 
较 高 的 检测 准确 率 和 效率 。 但 是 ,模式 匹配 不 能 检测 到 从 未 出 现 过 的 攻击 或 人 侵 手 段 。 

2. 统计 分 析 

统计 分 析 方 法 首先 给 系统 对 象 (如 用 户 .文件 .目录 和 设备 等 ) 创 建 一 个 统计 描述 ,统计 
正常 使 用 时 的 一 些 测量 属性 (如 访问 次 数 ,操作 失败 次 数 和 延 时 等 )。 测 量 属性 的 平均 值 将 
被 用 来 与 网 络 、 系 统 的 行为 进行 比较 ,任何 观察 值 在 正常 值 范围 之 外 时 ,就 认为 有 入 侵 或 攻 
击发 生 。 例 如 ,对 于 使 用 Windows 2000 Server 或 Windows Server 2003 的 企业 域 用 户 ,可 
以 根据 企业 内 部 管理 的 规定 ,允许 员工 在 周一 至 周 五 的 早上 8:00 一 下 午 6:00 登录 域 控 制 
器 来 访问 企业 的 内 部 资源 ,如 图 7-15 和 图 7-16 所 示 。 如 果 在 如 图 7-12 所 示 的 “事件 查看 
器 ”窗口 中 发 现 有 用 户 在 非 规定 时 间 频 繁 地 试图 登录 该 域 控 制 器 , 则 可 以 确定 为 入 侵 行 为 。 
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图 7-15 用 户 账号 的 属性 设置 对 话 框 
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图 7-16 设置 用 户 账号 的 登录 时 间 


统计 分 析 的 优点 是 可 检测 到 未 知 的 或 更 为 复杂 的 入 侵 ,缺点 是 误 报 、 漏 报 率 较 高 ,上 且 不 
适应 用 户 正 常 行为 的 突然 改变 。 

3. 完整 性 分 析 

完整 性 分 析 主 要 关注 某 个 文件 或 对 象 是 否 被 更 改 ,可 以 通过 该 文件 或 该 文件 所 在 目录 
的 属性 来 发 现 。 完 整 性 分 析 利 用 强 有 力 的 加 密 机 制 ,可 以 识别 微小 的 变化 。 完 整 性 分 析 的 
优点 是 不 管 模式 匹配 方法 和 统计 分 析 方 法 能 否 发 现 和 人 侵 , 只 要 是 成 功 的 攻击 导致 了 文件 或 
其 他 对 象 的 任何 改变 , 它 都 能 够 发 现 。 其 缺点 是 一 般 以 批 处 理 方式 实现 ,不 用 于 实时 响应 。 
尽管 如 此 ,完整 性 检测 方法 还 应 该 是 网 络 安全 产品 的 必要 手段 之 一 。 例 如 ,可 以 在 每 一 天 的 
某 个 特定 时 间 内 开启 完整 性 分 析 模 块 , 对 网 络 系统 进行 全 面 的 扫描 检查 。 


7.3.6 IDS 的 将 点 


入 侵 检测 被 认为 是 继 防火 墙 之 后 的 第 二 道 安全 闸门 , 它 在 尽量 不 影响 网 络 性 能 的 情况 
下 对 网 络 进行 监测 ,从 而 提供 对 各 类 攻击 和 误 操作 的 实时 防范 。 入 侵 检测 是 防火 墙 的 有 机 
补充 ,可 帮助 系统 应 对 网 络 攻击 和 入 侵 ,扩展 了 系统 的 安全 管理 手段 (包括 安全 审计 、 监 视 、 
攻击 识别 和 响应 等 ) ,提高 了 信息 安全 基础 结构 的 完整 性 。 它 从 计算 机 网 络 系统 中 的 多 个 关 
键 点 (如 路 由 器 、 防 火 墙 和 服务 器 等 ) 收 集 信 息 , 并 分 析 这 些 信 息 , 再 通过 一 定 的 措施 查看 网 
络 中 是 否 有 违反 安全 策略 的 行为 和 遭 到 袭击 的 迹象 。 这 些 功 能 都 是 通过 IDS 执行 以 下 的 
任务 来 实现 的 。 

(1) 收集 、 分 析 用 户 及 系统 的 各 项 活动 。 

(2) 对 系统 构造 和 弱点 的 审计 。 

(3) 识别 响应 已 知 进攻 和 入 侵 的 活动 模式 ,并 且 采 取 一 定 的 方式 通知 网 络 管理 人 员 。 

(4) 异常 行为 模式 的 统计 分 析 。 

(5) 评估 重要 系统 和 数据 文件 的 完整 性 。 

(6) 操作 系统 的 审计 跟踪 管理 ,并 识别 用 户 违反 安全 策略 的 行为 。 

对 一 个 成 熟 的 IDS 来 讲 , 它 不 但 可 使 系统 管理 员 时 刻 了 解 网 络 系统 (包括 程序 文件 和 
硬件 设备 等 ) 的 任何 变更 ,还 能 给 网 络 安 全 策略 的 制订 提供 帮助 和 指南 。 更 为 重要 的 一 点 
是 , 它 的 配置 .使 用 和 管理 应 用 简单 明了 ,适应 大 量 的 非 专业 人 员 使 用 。 另 外 ,入 侵 检测 的 规 
模 还 应 根据 网 络 所 受到 的 威胁 .系统 构造 和 用 户 的 安全 需求 的 改变 而 适时 地 进行 改变 。 同 
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时 ,IDS 在 发 现 人 侵 后 ,能 够 及 时 作出 响应 ,包括 切断 网 络 连接 .记录 事件 和 报警 等 。 


7.3.7 IDS 部 署 实例 分 析 


根据 IDS 信息 收集 方式 的 不 同 ,目前 的 IDS 产品 也 基本 上 分 为 基于 主机 、 基 于 网 络 和 
混合 型 三 种 类 型 ,其 中 有 些 是 软件 形式 (以 基于 主机 的 信息 收集 方式 为 主 ) ,而 有 些 是 软件 和 
专用 硬件 相 结合 (以 基于 网 络 的 信息 收集 方式 为 主 )。 下 面 分 别 以 ISS RealSecure 和 Cisco 
IDS 为 例 进行 介绍 。 

1. ISS RealSecure 的 部 署 

IDS 的 典型 代表 是 ISS (Internet Security Systems, 国际 因特网 安全 系统 ) 的 
RealSecure, 它 是 一 个 自动 实时 的 人 侵 检 测 和 响应 系统 ,通过 监控 网 络 传输 并 自动 检测 和 响 
应 可 疑 的 行为 ,在 系统 受到 危害 之 前 截取 和 响应 安全 漏洞 和 内 部 误 用 ,从 而 最 大 程度 地 为 企 
业 网 络 提 供 安 全 保障 。RealSecure 在 网 络 中 的 部 署 如 图 7-17 所 示 , 根 据 企 业 网 络 的 特点 ， 
可 以 在 每 一 个 网 络 主干 (三 层 交换 机 ) 上 安装 一 个 网 络 传感器 (Network Sensor) ,然后 将 通 
过 该 主干 的 流量 全 部 镜像 到 该 网 络 传感器 上 ,再 通过 RealSecure 控制 台 进行 分 析 。 对 于 小 
型 网 络 来 说 ,可 以 仅 在 中 心 交 换 机 上 安装 一 个 网 络 传感器 即 可 ,如 图 7-18 所 示 。 
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图 7-17 IDS 在 大 中 型 网 络 中 的 部 署 


RealSecure 是 一 种 混合 型 的 人 侵 检测 系统 ,同时 提供 基于 网 络 和 主机 的 实时 入 侵 检 测 。 
其 控制 台 可 以 运行 在 Windows 2000/2003 等 操作 系统 上 。RealSecure 的 传感器 是 自治 的 ， 
能 被 许多 控制 台 控 制 。 

(1) RealSecure 控制 台 。 可 同时 对 多 台 网 络 传感器 和 服务 器 代理 进行 管理 ; 对 被 管理 
传感器 进行 远程 的 配置 和 控制 ; 各 个 监控 器 发 现 的 安全 事件 实时 地 报告 到 控制 台 。 

(2) Network Sensor。 网 络 传感器 ,对 网 络 进行 监听 并 自动 对 可 疑 行为 进行 响应 ,最 大 
程度 保护 网 络 安全 ; 运行 在 特定 的 主机 上 (目前 广泛 使 用 的 RealSecure 6. x/7. x 可 运行 在 
UNIX、Linux 和 Windows 2000/2003 操作 系统 上 ) ,监听 并 解析 所 有 的 网 络 信息 ,及 时 发 现 
具有 攻击 特征 的 信息 包 ; 检测 本 地 网 段 ,查找 每 一 数据 包 内 隐藏 的 恶意 人 侵 , 对 发 现 的 人 侵 
做 出 及 时 的 响应 。 当 检测 到 攻击 时 ,网 络 传感器 能 即刻 做 出 响应 ,进行 报警 /通知 (向 管理 控 
制 台 报警 .向 安全 管理 员 发 送 E-mail.SNMP trap 查看 实时 会 话 和 通报 其 他 控制 台 ) ,记录 
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图 7-18 IDS 在 小 型 网 络 中 的 部 署 


现场 (记录 事件 日 志 及 整个 会 话 ) ,采取 安全 响应 行动 (终止 人 侵 连接 .调整 网 络 设备 配置 ,如 
防火 墙 .执行 特定 的 用 户 响应 程序 ) 。 

(3) Server Sensor。 服 务 器 传感器 , 它 属于 一 种 服务 器 代理 ,安装 在 各 个 服务 器 (如 图 7-17 
和 图 7-18 所 示 的 E-mail、Web 和 DNS 服务 器 等 ) 上 ,对 主机 的 核心 级 事件 .系统 日 志 及 网 络 
活动 实现 实时 和 人 侵 检测 。 具 有 包 拦 截 . 智 能 报警 及 阻塞 通信 的 能 力 ,能 够 在 入侵 到 达 操 作 系 
统 或 应 用 之 前 主动 阻止 人 侵 ; 自动 重新 配置 网 络 引擎 和 选择 防火 墙 阻止 黑客 的 进一步 攻击 。 

2. Cisco IDS 部 署 

在 网 络 安全 领域 中 ,防火墙 就 好 像 是 坚固 的 门 锁 和 窗 门 ,能 够 阻挡 他 人 的 非法 入 侵 。 事 
实 上 ,好 的 安全 战略 也 应 该 使 用 入 侵 检测 。 与 安全 大 厦 内 的 警报 器 和 摄像 机 相似 ,IDS 警报 
不 但 能 为 警卫 提供 很 多 详细 信息 (包括 和 人 侵 者 进入 大 厦 的 方法 和 目前 所 在 的 位 置 等 ) ,还 能 
提供 必要 的 数据 ,帮助 安全 管理 人 员 确 定 快速 缉拿 人 侵 者 的 最 佳 方式 ,以 及 将 来 怎样 预防 类 
似 入 侵 的 发 生 。 

Cisco 公司 的 IDS 产品 多 以 硬件 形式 存在 ,同时 Cisco 公司 不 但 推出 专用 的 IDS 产品 
(如 Cisco-IDS-4200 系列 ) ,而 且 还 为 Cisco 交换 机 、 路 由 器 和 防火 墙 开 发 了 专门 的 硬件 模 
块 。 只 要 在 这 些 网 络 设 备 上 安装 相应 的 模块 就 可 以 作为 一 台 网 络 传感器 来 使 用 。 同 时 ， 
Cisco 基于 主机 的 代理 (Cisco 安全 代理 ) 可 以 运行 在 服务 器 主机 上 ,为 主机 提供 安全 保障 。 

更 值得 一 提 的 是 ,为 了 同时 管理 网 络 中 的 大 量 传感器 ,Cisco 公司 使 用 了 IDS 管理 员 中 
心 (IDS MC) , 它 能 够 在 一 个 管理 控制 台 上 同时 管理 几 百 个 传感器 。IDS MC 是 Cisco 
Works 2000 VPN/ 安 全 管理 解决 方案 (VMS) 产 品 的 一 个 组 件 , 可 以 部 署 在 Windows 2000 
(Service Pack3) 及 以 上 版 本 的 操作 系统 上 。 

还 值得 一 提 的 是 ,在 中 小 型 网 络 中 ,为 了 同时 监控 多 个 网 段 ,Cisco 公司 还 推出 了 多 监 
控 接 口 的 传感器 ,在 该 传感器 上 提供 了 多 个 网 络 接口 ,每 一 个 网 络 接口 可 以 分 别 连接 一 个 网 
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段 ,如 图 7-19 所 示 。 需 要 说 明 的 是 ,多 监控 接口 从 Cisco IDS 4. 1 版 本 开始 支持 。 
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7.4 IPS 技术 及 应 用 


安全 防护 是 一 个 多 层次 的 保护 机 制 , 它 既 包 括 网 络 的 安全 策略 (相关 的 安全 管理 制度 、 
系统 安全 策略 的 运行 等 ) ,又 包括 防火 墙 . 防 病毒 和 入 侵 检 测 系统 等 产品 的 部 署 和 应 用 ,同时 
还 根据 技术 的 发 展 , 继 IDS 后 推出 了 IPS(Intrusion Protection System, 和 人 侵 防 御 系 统 )。 由 
此 可 见 ,为 了 保障 网 络 安全 ,还 必须 建立 一 套 完整 的 安全 防护 体系 ,进行 多 层次 .多 手段 的 检 
测 和 防护 。IPS 正 是 构建 安全 防护 体系 不 可 缺少 的 一 个 环节 。 


7.4.1 IPS 的 概念 


IPS 是 继 IDS 之 后 发 展 起 来 的 一 项 新 型 技术 , 它 在 继承 了 IDS 优势 的 同时 ,避免 了 IDS 
存在 的 一 些 不 足 , 适 应 了 现代 计算 机 网 络 对 安全 的 要 求 。 

IPS 是 一 种 主动 的 ,智能 的 人 侵 检 测 和 防御 系统 ,其 设计 目的 主要 是 预先 对 入 侵 活动 和 
攻击 行为 的 网 络 流量 进行 拦截 ,避免 造成 损失 。IDS 以 关联 方式 部 署 在 不 同 的 服务 器 和 网 
段 上 , 先 将 服务 器 或 网 段 上 的 流量 镜像 到 网 络 传感器 上 ,再 通过 IDS 管理 控制 台 进 行 分 析 ， 
如 果 发 现 人 侵 或 攻击 , 则 会 产生 报警 .IDS 在 网 络 中 的 部 署 方式 如 图 7-20 所 示 。 与 IDS 相 
比 ,IPS 最 大 的 不 同 是 以 串联 的 方式 部 署 在 网 络 的 进出 口 处 , 像 防火 墙 一 样 , 它 对 进出 网 络 
的 所 有 流量 进行 分 析 。 当 检测 到 有 入 侵 或 攻击 企图 后 ,会 自动 将 相应 的 数据 包 丢 奔 , 或 采取 
相应 的 措施 将 攻击 源 阻 断 。IPS 在 网 络 中 的 部 署 方式 如 图 7-21 所 示 。 
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图 7-20 IDS 在 网 络 中 的 部 署 方式 
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图 7-21 IPS 在 网 络 中 的 部 署 方式 


在 介绍 IPS 时 ,不 得 不 提 到 防火 墙 和 IDS。 防 火 墙 是 实施 访问 控制 策略 的 系统 ,对 流 经 
网 络 的 流量 进行 检查 ,拦截 不 符合 安全 策略 的 数据 包 。 同 时 ,传统 的 防火 墙 只 能 对 OSI 参 
考 模型 第 三 层 (网 络 层 ) 和 第 四 层 (传输 层 ) 的 数据 单元 进行 检查 ,不 能 检测 应 用 层 的 内 容 , 而 
且 防 火 墙 的 包 过 滤 技 术 不 会 针对 每 一 个 字 节 进行 检查 ,因而 也 就 无 法 发 现 攻击 活动 。 所 以 ， 
防火 墙 的 主要 功能 是 拒绝 那些 明显 可 疑 的 网 络 流量 ,但 仍然 允许 某 些 流量 通过 ,因此 防火 墙 
对 于 大 部 分 人 侵 攻击 仍然 无 能 为 力 。 

IDS 通过 监视 网 络 或 系统 资源 ,寻找 违反 安全 策略 的 行为 或 攻击 迹象 ,并 发 出 报警 。 
IDS 从 工作 方式 来 看 基本 上 是 被 动 的 ,在 攻击 或 人 侵 实 际 发 生 之 前 ,IDS 往往 无 法 预先 发 出 
报警 。 而 IPS 则 倾向 于 提供 主动 防御 ,其 设计 目的 是 预先 对 入 侵 活动 和 攻击 性 网 络 流 量 进 
行 拦截 ,避免 其 造成 损失 ,而 不 像 IDS 那样 简单 地 在 恶意 流量 传送 时 或 传送 后 才 发 出 警报 。 
IPS 是 通过 直接 嵌入 到 网 络 流量 中 实现 这 一 功能 , 即 通过 一 个 网 络 端口 接收 来 自 外 部 系统 
的 流量 ,经 过 检查 确认 其 中 不 包含 异常 活动 或 可 疑 内 容 后 ,再 通过 另外 一 个 端口 传送 到 内 部 
系统 中 。 这 样 一 来 ,有 问题 的 数据 包 , 以 及 所 有 来 自 同 一 数据 流 的 后 续 数 据 包 ,都 能 在 IPS 
设备 中 被 清除 掉 。 

IPS 实现 实时 检查 和 阻止 人 侵 的 原理 在 于 IPS 拥有 数目 众多 的 过 滤器 ,能 够 防止 各 种 
攻击 。 当 新 的 攻击 手段 被 发 现 之 后 ,IPS 就 会 创建 一 个 新 的 过 滤器 。 所 有 流 经 IPS 的 数据 
包 都 被 分 类 ,分 类 的 依据 是 数据 包 的 头 部 信息 ,如 源 IP 地 址 、 目 的 IP 地 址 、 端 口号 和 应 用 域 
等 。 每 种 过 滤器 负责 分 析 相 对 应 的 数据 包 。 通 过 检查 的 数据 包 可 以 继续 往 前 发 送 , 包 含 恶 
意 内 容 的 数据 包 就 会 被 丢弃 ,被 怀疑 的 数据 包 需 要 接受 进一步 的 检查 。 

IPS 应 具有 以 下 的 技术 特征 。 

(1) 嵌入 式 运行 。 只 有 以 风 人 模式 运行 的 IPS 设备 才能 够 实现 实时 的 安全 防护 ,实时 
阻 断 所 有 可 疑 的 数据 包 , 并 对 该 数据 流 的 剩余 部 分 进行 拦截 。 

(2) 深入 分 析 和 控制 。IPS 必须 具有 深入 分 析 能 力 ,以 确定 哪些 流量 已 经 被 拦截 ,并 能 
够 根据 攻击 类 型 .策略 等 来 确定 哪些 流量 应 该 被 拦截 。 

(3) 入侵 特征 库 。 与 防 病毒 系统 的 病毒 库 一 样 , 较 为 完整 的 高 质量 的 入 侵 特 征 库 是 IPS 
高 效 运行 的 必要 条 件 。 当 选择 一 款 IPS 产品 时 , 除 考虑 其 硬件 性 能 和 所 采用 的 技术 等 指标 
外 ,还 要 重点 考虑 IPS 入 侵 特征 库 的 升级 等 问题 。 

(4) 高 效 处 理 能 力 。IPS 必须 具有 对 数据 包 的 高 效 处 理 能 力 ,争取 对 整个 网 络 性 能 的 
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影响 降 至 最 低 水 平 ,避免 IPS 成 为 网 络 的 瓶颈 。 
7.4.2 IPS 的 分 类 


IPS 根据 部 署 方式 的 不 同 , 分 为 基于 主机 的 入 侵 防 御 系 统 (Host IPS,HIPS)、 基 于 网 络 
的 入 侵 防御 系统 (Network IPS,NIPS) 和 应 用 入 侵 保 护 (Application Intrusion Prevention， 
AIP) 三 种 类 型 。 

1. 基于 主机 的 人 侵 防御 

基于 主机 的 入 侵 防 御 通 过 在 服务 器 等 主机 上 安装 代理 程序 来 防止 对 主机 的 入 侵 和 攻 
击 ,保护 服 务 器 免 受 外 部 人 侵 或 攻击 。HIPS 可 以 根据 自 定义 的 安全 策略 及 分 析 学 习 机 制 
来 阻 断 对 服务 器 等 主机 发 起 的 恶意 和 人 侵 ,HIPS 可 以 阻 断 缓冲 区 溢出 、 更 改 登录 口令 改写 
动态 链接 库 ,以 及 其 他 试图 获得 操作 系统 入 侵权 的 行为 ,加 强 了 系统 整体 的 安全 性 。 

HIPS 利用 由 包 过 滤 .状态 包 检 测 和 实时 人 侵 检测 组 成 的 分 层 防护 体系 ,不 但 能 够 阻止 
诸如 缓冲 区 溢出 这 一 类 的 已 知 攻击 ,还 能 够 防范 未 知 攻击 ,防止 针对 Web 页 面 、 应 用 系统 和 
资源 的 未 授权 的 任何 非法 访问 ,提供 对 主机 整体 的 保护 。 它 能 够 在 满足 网 络 实际 吞吐 率 的 
前 提 下 ,最 大 限度 地 保护 主机 的 敏感 内 容 , 既 可 以 将 相关 软件 嵌入 到 应 用 程序 对 操作 系统 的 
调用 中 ,来 拦截 针对 操作 系统 的 可 疑 调用 ,提供 对 主机 的 安全 防护 ,也 可 以 更 改 操作 系统 内 
核 程序 的 方式 ,提供 比 操作 系统 更 加 严谨 的 安全 控制 机 制 。HIPS 与 具体 的 主机 或 服务 器 
上 所 运行 的 操作 系统 紧密 相关 ,不 同 的 操作 系统 需要 不 同 的 代理 程序 。 

2. 基于 网 络 的 人 侵 防 御 

基于 网 络 的 入侵 防御 通过 检测 流 经 的 网 络 流量 ,提供 对 网 络 系统 的 安全 保护 。 与 IDS 
的 并 联 方式 不 同 ,由 于 IPS 采用 串联 方式 ,所 以 一 旦 检测 出 入 侵 行 为 或 攻击 数据 流 ,NIPS 
就 可 以 去 除 整 个 网 络 会 话 。 另 外 ,由 于 IPS 以 串联 方式 接 和 整个 网 络 的 进出 口 处 ,所 以 
NIPS 的 性 能 也 影响 整体 网 络 的 性 能 ,NIPS 有 可 能 成 为 整个 网 络 的 瓶颈 。 为 此 ,对 NIPS 的 
硬件 组 成 和 处 理 能 力 就 提出 了 更 高 的 要 求 。 

除 在 硬件 上 为 NIPS 提供 保障 外 ,还 需要 从 实现 技术 上 寻找 突破 。NIPS 吸取 了 目前 几 
乎 IDS 所 有 的 成 熟 技 术 ,包括 特征 匹配 .协议 分 析 和 异常 检测 等 。 其 中 ,特征 匹配 具有 准确 
率 高 .速度 快 等 特点 ,是 应 用 最 为 广泛 的 一 项 技术 。 基 于 状态 的 特征 匹配 不 但 检测 攻击 行为 
的 特征 ,还 要 检查 当前 网 络 的 会 话 状态 ,避免 受到 欺骗 攻 击 。 协 议 分 析 是 一 种 较 新 的 和 人 侵 检 
测 技术 , 它 充 分 利用 网 络 协议 的 特征 ,并 结合 高 速 数据 包 捕 提 和 协议 分 析 技 术 ,来 快速 检测 
某 种 攻击 特征 。 协 议 分 析 能 够 理解 不 同 协议 的 工作 原理 ,以 此 分 析 这 些 协议 的 数据 包 ,来 寻 
找 可 疑 或 不 正常 的 访问 行为 。 

3. 应 用 人 侵 防护 

应 用 入 侵 防护 是 NIPS 产品 的 一 个 特例 , 它 把 NIPS 扩展 成 为 位 于 应 用 服务 器 之 前 的 网 
络 设备 ,为 应 用 服务 器 提供 更 安全 的 保护 。AIP 被 设计 成 一 种 高 性 能 的 设备 ,配置 在 特定 的 
网 络 链 路 上 ,以 确保 用 户 遵守 已 设 定好 的 安全 策略 ,保护 服务 器 的 安全 。 而 NIPS 工作 在 网 
络 上 ,直接 对 数据 包 进 行 检测 和 阻 断 ,与 具体 的 服务 器 或 主机 的 操作 系统 平台 无 关 。 


7.4.3 IPS 的 发 展 


IDS 入 侵 检测 系统 一 直 以 来 充当 了 安全 防护 系统 的 重要 角色 。IDS 技术 是 通过 从 网 络 
上 获取 数据 包 后 进行 分 析 , 从 而 检测 和 识别 出 系统 中 的 未 授权 或 异常 现象 。IDS 注重 的 是 


网 络 监 控 、 审 核 跟踪 ,告知 网 络 是 否 安全 ,发 现 异 常 行为 时 ,自身 不 作为 ,而 是 通过 与 防火 墙 
等 安全 设备 联动 的 方式 进行 防护 。 目 前 ,IDS 是 一 种 受到 企业 欢迎 的 解决 方案 ,但 其 存在 以 
下 几 个 显著 缺陷 : 部 署 过 程 复杂 、 误 报 率 高 及 自身 防 攻击 能 力 较 差 等 。 

以 上 现象 的 存在 ,是 因为 绝 大 多 数 IDS 系统 都 是 被 动 的 ,而 不 是 主动 性 的 。 在 攻击 实 
际 发 生 之 前 ,IDS 往往 无 法 预先 发 出 报警 。IPS 则 倾向 于 提供 主动 性 的 防护 ,其 设计 目的 为 
预先 对 入侵 活动 和 攻击 性 网 络 流量 进行 拦截 ,避免 其 造成 损失 ,而 不 是 简单 地 在 恶意 流量 传 
送 时 或 传送 后 才 发 出 报警 。 目 前 , 集 病毒 .木马 .人 侵 和 攻击 等 为 一 体 的 混合 威胁 不 断 发 展 ， 
所 以 单一 的 防御 措施 已 经 无 能 为 力 , 企 业 需要 对 网 络 进行 多 层 、 深 层 的 防护 来 有 效 保证 其 网 
络 安全 。 真 正 的 深层 防护 体系 不 仅 能 够 发 现 恶意 代码 ,而 且 还 能 够 主动 地 阻止 恶意 代码 的 
攻击 。 在 当前 混合 威胁 泛滥 的 情况 下 ,只 有 深层 防御 才 可 以 确保 网 络 的 安全 。IPS 在 深层 
防御 保护 方面 具有 一 定 的 技术 优势 。 

但 是 有 专家 认为 ,入 侵 防护 应 该 是 由 多 种 安全 设备 组 成 的 安全 体系 共同 来 实现 ,而 不 是 
由 IPS 单独 来 完成 ,IPS 只 是 主动 防御 的 一 部 分 ,而 不 是 主动 防御 的 全 部 。 主 动 防御 系统 还 
需要 加 入 应 用 级 防火 墙 与 应 用 级 IDS, 应 用 级 的 IDS 产品 能 够 重组 信息 流 ,跟踪 应 用 会 话 过 
程 ,并 准确 描述 和 识别 攻击 ; 而 应 用 级 的 防火 墙 能 够 阻 断 向 应 用 层 发 起 的 攻击 ,保护 Web 
应 用 。 

所 以 ,从 较 长 的 一 段 时 间 来 看 ,IPS 还 不 可 能 完全 取代 IDS 和 防火 墙 产品 ,IPS 还 有 许 
多 不 够 完善 的 地 方 , 如 单 点 故障 ,性 能 瓶颈 . 误 报 和 漏 报 等 。 这 是 由 于 IPS 必须 串联 到 网 络 
中 ,这 就 可 能 造成 网 络 瓶 颈 或 单 点 故障 。 如 果 IDS 出 现 故障 ,最 坏 的 情况 也 就 是 造成 某 些 
攻击 无 法 被 检测 到 ; 而 串联 式 的 IPS 设备 出 现 问题 ,就 会 严重 影响 网 络 的 正常 运转 ,甚至 造 
成 所 有 用 户 都 将 无 法 访问 企业 网 络 提供 的 服务 。 即 使 正常 使 用 的 IPS 设备 也 仍然 是 一 个 洪 
在 的 网 络 瓶 颈 ,串联 到 网 络 中 的 IPS 不 仅 会 增加 正常 的 响应 时 间 ,而 且 会 降低 网 络 的 效率 ， 
IPS 必须 与 数 千 兆 或 者 更 大 容量 的 网 络 流量 保持 同步 ,尤其 是 当 加 载 了 数量 庞大 的 检测 特 
征 库 时 ,设计 不 够 完善 的 IPS 设备 将 很 难 支持 这 种 响应 速度 ,这 就 为 IPS 设备 的 制造 技术 和 
成 本 提出 了 更 高 的 要 求 。 

针对 以 上 问题 ,IPS 厂商 纷纷 采用 各 种 方式 加 以 解决 。 例 如 ,综合 应 用 多 种 检测 技术 ， 
采用 专用 硬件 加 速 系统 来 提高 IPS 的 运行 效率 等 。 不 过 ,需要 说 明 的 是 ,因为 网 络 威胁 的 多 
样 性 和 综合 性 已 越 来 越 突 出 ,所 以 IPS 的 不 足 并 不 会 成 为 阻止 人 们 使 用 IPS 的 理由 。 在 众 
多 的 安全 产品 中 ,入 侵 防 御 系统 的 重要 性 会 不 断 被 用 户 所 认可 。 

由 于 IPS 技术 还 处 于 快速 的 发 展 阶段 ,相应 的 网 络 应 用 目前 还 较 少 。 为 此 ,本 章 仅 介绍 
了 IPS 的 相关 概念 和 技术 优势 ,对 IPS 感 兴趣 的 读者 可 关注 其 发 展 。 


习 题 


7-1 什么 是 网 络 攻击 ? 网络 攻 击 主 要 采取 哪些 方式 ? 

7-2 ”名词 解 释 : 死亡 之 Ping、 泪 滴 攻 击 .ICMP 泛 洪 `UDP 泛 洪 、Land 攻击 、Smurf 攻 
击 . 电 子 邮 件 炸弹 .口令 攻击 .缓冲 区 溢出 。 

7-3 ”什么 是 扫描 技术 ? 区 分 端口 扫描 和 漏洞 扫描 的 不 同 之 处 。 

7-4 介绍 假 消息 攻击 的 特点 及 常见 的 实现 方法 。 


网 络 攻 击 与 防范 


地 人 小 
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7-5 分 别 介绍 脚本 攻击 和 ActiveX 攻击 的 特点 及 实现 方法 。 

7-6 ”分 别 介绍 DoS 和 DDoS 攻击 的 实现 方法 和 特点 。 

7-7 名词 解释 : IDS、 误 报 、 漏 报 。 

7-8 试 分 析 IDS 的 异常 检测 .滥用 检测 和 混合 检测 三 种 模型 的 原理 与 应 用 特点 。 
7-9 结合 实际 ,说 明 IDS 中 数据 的 收集 和 分 析 方 法 及 重要 性 。 

7-10 与 IDS 相 比 ,IPS 具 有 哪些 功能 优势 ? 

7-11 联系 网 络 安全 实际 , 试 分 析 HIPS、NIPS 和 AIP 的 技术 特点 和 应 用 优势 。 


第 8 章 防火 墙 技术 及 应 用 


网 络 防 火 墙 (简称 为 “防火 墙 ”) 是 计算 机 网 络 安全 管理 中 应 用 最 早 和 技术 发 展 最 快 的 安 
全 产品 之 一 。 随 着 以 Internet 为 主 的 计算 机 网 络 应 用 的 迅猛 发 展 ,各 种 安全 问题 和 安全 隐 
患 日 渐 突 出 。 防 火 墙 则 需要 关注 网 络 应 用 实际 ,最 大 可 能 地 解决 各 类 安全 问题 ,堵塞 已 知 的 
安全 漏洞 ,为 用 户 提供 可 信赖 的 网 络 应 用 区 域 。 目 前 ,防火 墙 技术 已 不 再 仅仅 局 限于 单一 的 
防火 墙 产品 ,同时 已 集成 到 操作 系统 、 杀 病毒 软件 .路 由 器 和 交换 机 等 各 类 网 络 产品 中 。 为 
此 ,本 章 将 立足 用 户 的 安全 需要 ,侧重 于 对 防火 墙 技术 和 应 用 的 介绍 ,而 不 是 仅仅 关注 某 一 
类 防火 墙 产品 ,从 而 开阔 读者 的 知识 面 ,培养 读者 分 析 和 解决 网 络 安全 问题 的 能 力 。 


8.1 防火 墙 技术 概述 


防火 墙 的 产生 动因 之 一 是 防范 非法 用 户 的 入 侵 , 为 主机 或 局 域 网 提供 安全 防护 。 目 前 ， 
防火 墙 已 成 为 大 多 数 机 构 构 建 可 信赖 安 全 网 络 的 主要 支柱 。 


8.1.1 防火 墙 的 概念 


护城河 是 古人 在 防御 手段 上 利用 水 的 作用 ,引水 注入 人 工 开 挖 的 壕沟 ,形成 人 工 河 作为 
城墙 或 重要 建筑 的 屏障 ,一 方面 维护 城内 治安 , 另 一 方面 阻止 人 侵 者 的 进入 。 在 早期 修建 木 
质 结 构 房 屋 时 ,为 防止 火灾 的 发 生 和 蔓延 ,建设 者 将 坚固 的 石 块 堆砌 在 房屋 周围 作为 屏障 ， 
这 种 用 石 块 构筑 的 屏障 称 为 “防火 墙 ”。 

计算 机 网 络 中 的 防火 墙 功能 类 似 于 古代 的 护城河 和 建筑 物 周围 的 石 块 屏障 。 从 网 络 的 
结构 来 看 , 当 一 个 局 域 网 接 人 互联 网 (如 Internet) 时 ,局域网 内 部 的 用 户 就 可 以 访问 互联 网 
上 的 资源 ,同时 外 部 用 户 也 可 以 访问 局 域 网 内 的 主机 资源 。 然 而 ,在 许多 情况 下 ,局 域 网 属 
于 单位 的 内 部 网 络 , 有 一 些 资源 是 不 允许 外 网 用 户 来 访问 的 。 为 此 ,需要 在 局 域 网 与 互联 网 
之 间 构 建 一 道 安全 屏障 ,其 作用 是 阻 断 来 自 外 部 网 络 对 局 域 网 的 威胁 和 入 侵 , 为 局 域 网 提供 
一 道 安全 和 审计 的 关卡 。 

防火 墙 是 指 设置 在 不 同 网 络 ( 如 可 信赖 的 企业 内 部 局 域 网 和 不 可 信赖 的 公共 网 络 ) 之 间 
或 网 络 安全 域 之 间 的 一 系列 部 件 的 组 合 ,通过 监测 .限制 .更 改进 入 不 同 网 络 或 不 同安 全 域 
的 数据 流 , 尽 可 能 地 对 外 部 屏蔽 网 络 内 部 的 信息 ,结构 和 运行 状况 ,以 防止 发 生 不 可 预测 的 、 
潜在 破坏 性 的 入 侵 ,实现 网 络 的 安全 保护 。 防 火 墙 从 功能 上 来 说 ,是 被 保护 的 内 部 网 络 与 外 
部 网 络 之 间 的 一 道 屏障 ,是 不 同 网 络 或 网 络 安全 域 之 间 信 息 的 唯一 出 入 口 ,能 根据 内 部 网 络 
用 户 的 安全 策略 控制 (允许 ,拒绝 ,监测 ) 出 入 网 络 的 信息 流 ; 防火 墙 从 逮 辑 上 来 说 ,是 一 个 
分 离 器 ,一 个 限制 器 ,也 是 一 个 分 析 器 ,能 够 有 效 地 监控 内 部 网 和 外 部 网 络 (如 Internet) 之 
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间 的 所 有 活动 ,保证 了 内 部 网 络 的 安全 ; 从 物理 实现 上 来 说 ,防火 墙 是 位 于 网 络 特殊 位 置 的 
一 系列 安全 部 件 的 组 合 , 它 既 可 以 是 专用 的 防火 墙 硬件 设备 ,也 可 以 是 路 由 器 或 交换 机 上 的 
安全 组 件 ,还 可 以 是 运行 有 安全 软件 的 主机 。 

防火 墙 本 身 应 具有 较 强 的 抗 攻击 能 力 , 能 够 提供 信息 安全 服务 。 防 火 墙 是 实现 网 络 和 
信息 安全 的 基础 设施 ,一 个 高 效 可 靠 的 防火 墙 应 具备 以 下 的 基本 特性 。 

(1) 防火 墙 是 不 同 网 络 之 间 ,或 网 络 的 不 同安 全 域 之 间 的 唯一 出 入 口 , 从 里 到 外 和 从 外 
到 里 的 所 有 信息 都 必须 通过 防火 墙 。 

(2) 通过 安全 策略 来 控制 不 同 网 络 或 网 络 不 同安 全 域 之 间 的 通信 ,只 有 本 地 安全 策略 
授权 的 通信 才 允 许 通 过 。 

(3) 防火 墙 本 身 是 免疫 的 , 即 防火 墙 本 身 具 有 较 强 的 抗 攻击 能 力 。 


8.1.2 防火 墙 的 基本 功能 


防火 墙 技 术 随 着 计算 机 网 络 技术 的 发 展 而 不 断 向 前 发 展 ,其 功能 也 越 来 越 完善 。 一 台 
高 效 可 靠 的 防火 墙 应 具有 以 下 的 基本 功能 。 

1. 监控 并 限制 访问 

针对 网 络 人 侵 的 不 安全 因素 ,防火 墙 通过 采取 控制 进出 内 、 外 网 络 数据 包 的 方法 ,实时 
监控 网 络 上 数据 包 的 状态 ,并 对 这 些 状态 加 以 分 析 和 处 理 ,及 时 发 现存 在 的 异常 行为 。 同 
时 ,根据 不 同情 况 采 取 相 应 的 防范 措施 ,从 而 提高 系统 的 抗 攻击 能 力 。 

2. 控制 协议 和 服务 

针对 网 络 自身 存在 的 不 安全 因素 ,防火 墙 对 相关 协议 和 服务 进行 控制 ,使 得 只 有 授权 的 
协议 和 服务 才 可 以 通过 防火 墙 ,从 而 大 大 降低 了 因 某 种 服务 .协议 的 漏洞 而 引起 安全 事故 的 
可 能 性 。 例 如 , 当 人 允许 外 部 网 络 用 户 匿 名 访问 内 部 Web 服务 器 时 ,就 需要 在 防火 墙 上 对 访 
问 协 议和 服务 进行 限制 ,只 允许 http 协议 利用 TCP 80 端口 进入 网 络 ,而 其 他 协议 和 端口 将 
被 拒绝 。 防 火 墙 可 以 根据 用 户 的 需要 在 向 外 部 用 户 开放 某 些 服务 (如 WWW、FTP 等 ) 的 同 
时 ,禁止 外 部 用 户 对 受 保护 的 内 部 网 络 资源 进行 访问 。 

3. 保护 内 部 网 络 

针对 应 用 软件 及 操作 系统 的 漏洞 或 “后 门 ”, 防 火 墙 采用 了 与 受 保护 网 络 的 操作 系统 ,应 
用 软件 无 关 的 体系 结构 ,其 自身 建立 在 安全 操作 系统 之 上 。 同 时 ,针对 受 保护 的 内 部 网 络 ， 
防火 墙 能 够 及 时 发 现 系统 中 存在 的 漏洞 ,对 访问 进行 限制 ; 防火 墙 还 可 以 屏蔽 受 保 护 网 络 
的 相关 信息 。 

4. 网 络 地 址 转换 

网 络 地址 转换 (Network Address Translation ,NAT) 是 指 在 局 域 网 内 部 使 用 私有 IJIP 地 
址 ,而 当 内 部 用 户 要 与 外 部 网 络 ( 如 Internet) 进 行 通信 时 ,就 在 网 络 出 口 处 将 私有 IP 地 址 
替换 成 公用 IP 地 址 。NAT 具有 以 下 主要 功能 。 

(1) 缓解 目前 IP 地 址 (主要 是 IPv4) 紧 缺 的 局 面 。 一 个 单位 可 以 申请 有 限 的 几 个 甚至 
是 一 个 合法 的 公用 IP 地 址 ,通过 NAT 就 可 以 实现 使 用 私有 IP 地 址 的 内 部 局 域 网 用 户 访 
问 Internet 。 

(2) 屏蔽 内 部 网 络 的 结构 和 信息 。 一 个 单位 如 果 不 希 望 外 部 网 络 用 户 知道 本 单位 内 部 
的 网 络 结构 时 ,可 以 通过 NAT 将 内 部 网 络 与 外 部 网 络 隔离 开 来 ,即使 外 部 用 户 能 够 访问 单 


位 内 部 的 部 分 网 络 服务 (如 WWW、FTP 和 电子 邮件 等 ) .也 感觉 不 到 是 通过 NAT 进行 IP 
地 址 转换 的 。 同 时 ,所 有 内 部 网 络 中 的 计算 机 对 于 外 部 网 络 来 说 是 不 可 见 的 ,而 位 于 内 部 网 
络 中 的 计算 机 用 户 通常 也 不 会 意识 到 NAT 的 存在 。 

(3) 保证 内 部 网 络 的 稳定 性 。 如 果 内 部 网 络 更 换 了 ISP ,意味 着 要 更 换 公用 IP 地 址 。 
使 用 了 NAT 后 ,只 需要 在 NAT 设备 (如 防火 墙 .路 由 器 等 ) 上 进行 简单 的 设置 即 可 ,单位 内 
部 的 计算 机 和 网 络 设备 不 需要 进行 任何 改动 。 

(4) 适应 目前 国内 互联 网 络 的 应 用 现状 。 目 前 ,国内 互联 网 络 之 间 存 在 的 互联 互通 问 
题 已 非常 明显 ,许多 高 校 和 企业 在 网 络 出 口 处 都 提供 了 两 条 以 上 的 线路 ,每 一 条 线路 连接 一 
个 ISP, 如 中 国电 信 、 中 国 网 通 . 中 国联 通 . 中 国教 育 和 科研 网 等 。 

通过 NAT, 解 决 了 同一 内 部 网 络 使 用 多 出 口 的 问题 。 目 前 ,NAT 主要 通过 防火 墙 和 路 
由 器 来 实现 。 

5. 虚拟 专用 网 

虚拟 专用 网 (Virtual Private Network,VPN) 是 在 公用 网 络 中 建立 的 专用 数据 通信 网 
络 。 在 虚拟 专用 网 中 ,任意 两 个 节点 之 间 ( 如 局 域 网 与 局 域 网 之 间 .主机 与 主机 之 间 .主机 与 
局 域 网 之 间 ) 的 连接 并 没有 传统 专用 网 络 所 需 的 端 到 端的 物理 链 路 ,而 是 利用 已 有 的 公用 网 
络 资源 (如 Internet、.ATM 和 帧 中 继 等 ) 建 立 的 馆 辑 网 络 ,节点 之 间 的 数据 在 逻辑 链 路 中 传 
输 。 虚 拟 专用 网 中 的 “虚拟 ?是 指 用 户 不 需要 拥有 实际 的 长 途 数据 线路 ,而 是 使 用 Internet 
等 公用 数据 网 络 的 长 途 数据 线路 ;“ 专 用 网 "是 指 用 户 可 以 为 自己 制定 一 个 符合 自己 需求 的 
网 络 。 目 前 VPN 在 网 络 中 得 到 了 广泛 应 用 ,作为 网 络 特殊 位 置 的 防火 墙 应 具有 VPN 的 功 
能 ,以 简化 网 络 配置 和 管理 。 有 关 VPN 的 详细 内 容 将 在 本 章 第 9 章 进行 专门 介绍 。 

6. 日 志 记 录 与 审计 

当 防 火 墙 系统 被 配置 为 所 有 内 部 网 络 与 外 部 网 络 ( 如 Internet) 连 接 均 需 经 过 的 安全 节 
点 时 ,防火 墙 会 对 所 有 的 网 络 请 求 做 出 日 志 记录 。 日志 是 对 一 些 可 能 的 攻击 行为 进行 分 析 
和 防范 的 十 分 重要 的 情报 信息 。 另 外 ,防火 墙 也 能 够 对 正常 的 网 络 使 用 情况 做 出 统计 。 这 
样 网 络 管理 人 员 通 过 对 统计 结果 的 分 析 , 就 能 够 掌握 网 络 的 运行 状态 ,进而 更 加 有 效 地 管理 
整个 网 络 。 


8.1.3 防火 墙 的 基本 原理 


所 有 防火 墙 功 能 的 实现 都 依赖 于 对 通过 防火 墙 的 数据 包 的 相关 信息 进行 检查 ,而 且 检 
查 的 项 目 越 多 .层次 越 深 , 则 防火 墙 越 安全 。 由 于 现在 计算 机 网 络 结构 采用 自 项 向 下 的 分 层 
模型 ,而 分 层 的 主要 依据 是 各 层 的 功能 划分 ,不 同 层次 功能 的 实现 又 是 通过 相关 的 协议 来 实 
现 的 。 所 以 ,防火 墙 检查 的 重点 是 网 络 协议 及 采用 相关 协议 封装 的 数据 。 

对 于 一 台 防 火 墙 来 说 ,如 果 知 道 了 其 运行 在 OSI 参考 模型 的 哪 一 层 ,就 可 以 知道 它 的 
体系 结构 是 什么 ,主要 的 功能 是 什么 。 例 如 , 当 防 火 墙 主要 工作 在 OSI 参考 模型 的 网 络 层 
时 ,由 于 网 络 层 的 数据 是 IP 分 组 ,所 以 防火 墙 主要 针对 IP 分 组 进行 安全 检查 ,这 时 读者 需 
要 结合 IP 分 组 的 结构 (如 源 IP 地 址 、 目 的 IP 地 址 等 ) 来 掌握 防火 墙 的 功能 ,进而 有 针对 性 
地 在 网 络 中 部 署 防火 墙 产品 。 再 如 , 当 防 火 墙 主 要 工作 在 应 用 层 时 ,读者 就 需要 根据 应 用 层 
的 不 同 协议 (如 http.DNS、SMTP、FTP 和 Telnet 等 ) 来 了 解 防火 墙 的 主要 功能 。 

一 般 来 说 ,防火 墙 在 OSI 参考 模型 中 的 位 置 越 高 .防火墙 需要 检查 的 内 容 就 越 多 ,对 
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CPU 和 内 存 的 要 求 就 越 高 ,也 就 越 安 全 。 但 是 ,防火 墙 的 安全 不 是 绝对 的 , 它 寻 求 一 种 在 可 
信赖 和 性 能 之 间 的 平衡 。 在 防火 墙 的 体系 结构 中 ,在 CPU 和 内 存 等 硬件 配置 基本 相同 的 
情况 下 ,高 安全 性 的 防火 墙 的 效率 和 速率 较 低 ,而 高 速度 和 高 效率 的 防火 墙 其 安全 性 则 较 
差 。 为 此 ,对 于 防火 墙 的 应 用 业界 的 共识 是 : 性 能 和 安全 之 间 是 成 反比 的 。 近 年 来 , 随 着 
计算 机 性 能 的 上 升 ,以 及 操作 系统 对 对 称 多 处 理 器 (Symmetrical Multi-Processing, SMP) 
系统 及 多 核 CPU 的 支持 ,防火 墙 的 处 理 能 力 得 到 了 加 强 , 防 火 墙 对 数据 包 的 处 理 速 度 和 
效率 得 到 了 提升 ,防火 墙 在 OSI 参考 模型 中 的 不 同 工 作 位 置 对 其 速度 和 效率 的 影响 逐渐 
缩小 。 


8.1.4 防火 墙 的 基本 准则 


作为 可 信赖 的 单位 内 部 网 络 与 不 可 信赖 的 外 部 网 络 之 间 的 连接 节点 ,防火 墙 在 安全 功 
能 上 可 以 遵循 以 下 的 基本 准则 。 

1. 所 有 未 被 允许 的 就 是 禁止 的 

这 一 准则 是 指 根据 用 户 的 安全 管理 策略 ,所 有 未 被 允许 的 通信 禁止 通过 防火 墙 。 基 于 
该 准则 ,防火 墙 应 封锁 所 有 信息 流 ,然后 对 希望 提供 的 服务 逐 项 开放 ,对 不 安全 的 服务 或 可 
能 存在 安全 隐患 的 服务 一 律 关闭 。 这 是 一 种 非常 有 效 ,实用 的 方法 ,可 以 构建 一 个 较为 安全 
的 网 络 应 用 环境 ,因为 只 有 经 过 管理 人 员 确 认 是 安全 的 服务 才 被 允许 使 用 。 

这 一 准则 的 优势 是 安全 性 高 ,但 弊端 是 用 户 所 能 使 用 的 服务 范围 受到 限制 ,造成 用 户 使 
用 不 方便 。 例 如 ,Cisco PIX 防火 墙 的 初始 化 配置 就 采用 了 该 准则 。 

2. 所 有 未 被 禁止 的 就 是 允许 的 

这 一 准则 是 指 根据 用 户 的 安全 管理 策略 ,防火墙 转发 所 有 信息 流 , 允 许 所 有 的 用 户 和 站 
点 对 内 部 网 络 的 访问 ,然后 网 络 管理 员 按 照 IP 地 址 等 参数 对 未 授权 的 用 户 或 不 信任 的 站 点 
进行 逐 项 屏 项 。 这 种 方法 构成 了 一 种 更 为 灵活 的 应 用 环境 ,可 为 用 户 提供 更 多 的 服务 。 其 
浆 端 是 随 着 网 络 服务 的 增多 ,网络 管理 人 员 的 工作 量 将 会 随 之 增 大 ,特别 是 受 保护 的 网 络 范 
围 增 大 时 ,很 难 提供 可 靠 的 安全 防护 。 目 前 ,许多 国产 防火 墙 都 使 用 这 一 准则 。 


8.2 防火 墙 的 应 用 


在 计算 机 网 络 管理 中 ,防火 墙 是 一 种 非常 有 效 的 安全 解决 方案 , 它 可 以 为 用 户 提供 一 个 
相对 安全 的 网 络 环境 。 但 是 ,并 不 是 说 防火 墙 在 安全 管理 中 是 万 能 的 ,采用 了 防火 墙 的 网 络 
同样 存在 一 些 安全 漏洞 和 隐患 。 


8.2.1 防火 墙 在 网 络 中 的 位 置 


防火 墙 多 应 用 于 一 个 局 域 网 的 出 口 处 (如 图 8-1(Ca) 所 示 ) 或 置 于 两 个 网 络 中 间 (如 
图 8-1(b) 所 示 )。 对 于 绝 大 多 数 局 域 网 来 说 ,在 将 局 域 网 接 入 Internet 时 ,在 路 由 器 与 局 域 
网 中 心 交换 机 之 间 一 般 都 要 配置 一 台 防 火 墙 ,以 实现 对 局 域 网 内 部 资源 的 安全 保护 。 

根据 应 用 的 不 同 ,防火 墙 一 般 可 以 分 为 路 由 模式 防火 墙 和 透明 模式 防火 墙 两 类 。 其 中 ， 
路 由 模式 防火 墙 可 以 让 处 于 不 同 网 段 的 计算 机 通过 路 由 转发 的 方式 互相 通信 (如 图 8-1(b) 
所 示 )。 路 由 模式 防火 墙 存在 以 下 两 个 局 限 。 


局 域 网 中 局 域 网 


心 交 换 机 (Intranet) 
外 部 网 站 | N go 
Internet) 


路 由 器 ”防火墙 
(a) 位 于 局 域 网 出 口 处 的 防火 墙 
局 域 网 局 域 网 


(b) 置 于 两 个 局 域 网 中 间 的 防火 墙 
图 8-1 防火 墙 在 网 络 中 的 位 置 


(1) 防火 墙 各 端口 所 连接 的 网 络 必须 位 于 不 同 的 网 段 ,否则 两 个 网 络 之 间 将 无 法 进行 
通信 。 

(2) 与 防火 墙 直接 连接 的 设备 (计算 机 、 路 由 器 或 交换 机 ) 的 网 关 都 要 指向 防火 墙 。 

简单 地 讲 , 路 由 模式 防火 墙 是 让 防火 墙 同时 承担 路 由 器 的 功能 ,而 路 由 器 主要 用 于 连接 
不 同 的 网 络 。 

路 由 模式 防火 墙 也 称 为 “不 透明 "的 防火 墙 。 而 透明 模式 防火 墙 克服 了 路 由 模式 防火 墙 
的 不 足 , 可 以 连接 两 个 位 于 同一 迎 辑 网 段 的 物理 子 网 ,将 其 加 入 一 个 已 有 的 网 络 时 可 以 不 用 
修改 边缘 网 络 设备 的 设置 。 透 明 模式 防火 墙 的 应 用 如 图 8-1(a) 所 示 。 

为 了 适应 不 同 网 络 的 应 用 需要 ,目前 市 面 上 的 主流 防火 墙 一 般 都 同时 支持 路 由 模式 和 
透明 模式 两 种 工作 模式 ,使 用 者 可 以 根据 实际 的 网 络 需 要 在 两 种 模式 之 间 进 行 选择 。 


8.2.2 使 用 了 防火 墙 后 的 网 络 组 成 


防火 墙 是 构建 可 信赖 网 络 域 的 安全 产品 。 如 图 8-2 所 示 , 当 一 个 网 络 在 加 入 了 防火 墙 
后 ,防火 墙 将 成 为 不 同安 全 域 之 间 的 一 个 屏障 ,原来 具有 相同 安全 等 级 的 主机 或 区 域 将 会 因 
为 防火 墙 的 介入 而 发 生变 化 ,主要 如 下 所 示 。 


DMZ 一 一 
5 客 wet 服务 器 -邮件 服务 中 单位 内 部 网 络 
3 a (可 信赖 域 ) 
se — 一 区 
一 “外 部 网 络 “~ 


(信和 粹 域 ) 一 


8-2 使 用 防火 墙 后 的 网 络 组 成 
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1. 信赖 域 和 非 信赖 域 

当局 域 网 通过 防火 墙 接 入 公共 网 络 时 .以 防火 墙 为 节点 将 网 络 分 为 内 、 外 两 部 分 ,其 中 
内 部 的 局 域 网 称 为 信赖 域 ,而 外 部 的 公共 网 络 ( 如 Internet) 称 为 非 信 赖 域 。 

2. 信赖 主机 和 非 信赖 主机 

位 于 信赖 域 中 的 主机 因为 具有 较 高 的 安全 性 ,所 以 称 为 信赖 主机 ; 而 位 于 非 信赖 域 中 
的 主机 因为 安全 性 较 低 ,所 以 称 为 非 信赖 主机 。 

3. DMZ 

DMZ(Demilitarized zone) 称 为 “隔离 区 ”或 “ 非 军事 化 区 ”, 它 是 介 于 信赖 域 和 非 信 和 赖 域 
之 间 的 一 个 安全 区 域 。 因 为 在 设置 了 防火 墙 后 ,位 于 非 信赖 域 中 的 主机 是 无 法 直接 访问 信 
赖 区 主机 的 ,但 原来 (未 设置 防火 墙 时 ) 位 于 局 域 网 中 的 部 分 服务 器 (如 单位 的 Web 服务 器 、 
FTP 服务 器 和 邮件 服务 器 等 ) 需 要 同时 向 内 外 用 户 提 供 服务 。 为 了 解决 设置 防火 墙 后 外 部 
网 络 不 能 访问 内 部 网 络 服务 器 的 问题 , 便 采 用 了 一 个 信赖 域 与 非 信 赖 域 之 间 的 缓冲 区 。 这 
个 缓冲 区 中 的 主机 (一 般 为 服务 器 ) 虽 然 位 于 单位 内 部 网 络 ,但 允许 外 部 网 络 访问 。 
支持 DMZ 功能 的 防火 墙 至 少 需要 提供 三 个 网 络 接口 ,一 个 连接 可 信赖 域 , 另 一 个 连接 

二 非 信 赖 域 ,还 有 一 个 连接 DMZ, 如 图 8-3 所 示 。 

其 实 ,图 8-2 中 的 非 信赖 域 还 包括 路 由 器 。 在 进 
行 IP 地 址 分 配 时 ,连接 可 信赖 域 的 接口 一 般配 
置 内 部 网 络 使 用 的 私有 IP 地 址 ,连接 非 信赖 域 
和 DMZ 的 接口 一 般配 置 公 网 IP 地 址 。 另 外 ， 
DMZ 接口 也 可 以 配置 成 为 私有 IP 地 址 ,然后 再 
通过 防火 墙 或 路 由 器 中 的 NAT 功能 将 其 映射 为 
一 个 公 网 IP 地 址 。 

例如 ,Cisco PIX 防火 墙 就 通过 0 一 100 之 间 的 安全 级 别 来 定义 接口 的 安全 类 型 。 在 默 
认 配 置 中 ,连接 非 信赖 外 部 网 络 的 接口 安全 级 别 为 0 ,而 连接 可 信赖 的 内 部 网 络 的 接口 安全 
级 别 为 100,DMZ 接口 的 安全 级 别 可 由 网 络 管理 员 在 1 一 99 之 间 选 择 ,一 般 设 置 为 50。 


8.2.3 防火 墙 应 用 的 局 限 性 


防火 墙 虽然 是 目前 应 用 最 为 广泛 ,同时 也 是 最 有 效 的 网 络 安全 技术 ,但 是 ,防火 墙 并 不 
是 全 能 的 , 它 存在 一 定 的 应 用 局 限 性 ,主要 表现 如 下 。 

1. 防火 墙 不 能 防范 未 通过 自身 的 网 络 连接 

防火 墙 一 般 位 于 内 部 网 络 与 外 部 网 络 的 边界 处 ,负责 检查 所 有 通过 它 的 通信 情况 。 对 
于 有 线 网 络 来 说 ,防火 墙 是 进出 网 络 的 唯一 节点 。 但 是 如 果 使 用 无 线 网 络 ( 如 无 线 局 域 网 )， 
内 部 用 户 与 外 部 网 络 之 间 ,以 及 外 部 用 户 与 内 部 网 络 之 间 的 通信 就 会 绕 过 防火 墙 , 这 时 防火 
墙 就 没有 任何 用 处 。 

目前 ,无 线 局 域 网 技术 的 发 展 非常 迅速 ,应 用 需求 迅速 上 升 。 所 以 ,在 使 用 无 线 网 络 的 
环境 中 必须 考虑 到 防火 墙 存在 的 局 限 性 ,需要 通过 其 他 的 安全 技术 和 措施 加 强 对 无 线 网 络 
的 安全 管理 。 

2. 防火 墙 不 能 防范 全 部 的 威胁 

防火 墙 安全 策略 的 制定 建立 在 已 知 的 安全 威胁 上 ,所 以 防火 墙 能 够 防范 已 知 的 安全 威 


图 8-3 ”防火墙 上 的 网 络 连接 接口 


胁 。 但 是 ,对 于 一 些 未 知 的 安全 威胁 (如 采用 最 新 操作 系统 漏洞 的 网 络 攻击 等 ) 防 火 墙 将 无 
能 为 力 。 所 以 ,在 现在 的 网 络 安全 实施 方案 中 ,在 采取 了 防火 墙 技术 的 同时 ,还 要 综合 采用 
人 侵 检 测 、 入 侵 保 护 等 技术 ,最 好 能 够 实现 彼此 之 间 的 联动 效果 。 

3. 防火 墙 不 能 防止 感染 了 病毒 的 软件 或 文件 的 传输 

随 着 技术 的 发 展 ,虽然 目前 主流 的 防火 墙 可 以 对 通过 的 所 有 数据 包 进 行 深 度 的 安全 检 
测 ,已 决定 是 否 允 许 其 通过 ,但 一 般 只 会 检查 源 IP 地 址 .目的 IP 地址 .TCP/UDP 端口 及 网 
络 服务 类 型 , 较 新 的 防火 墙 技术 也 可 以 通过 应 用 层 协 议决 定 某 些 应 用 类 型 是 否 通过 ,但 对 于 
这 些 协 议 所 封装 的 具体 内 容 防 火 墙 并 不 检查 。 所 以 ,即使 是 最 先进 的 数据 包 过 滤 技术 在 病 
毒 防范 上 也 是 不 适用 的 ,因为 病毒 的 种 类 太 多 ,操作 系统 多 种 多 样 ,而 且 目 前 的 病毒 编写 技 
术 很 容易 将 病毒 隐藏 在 数据 中 。 

正 因 为 以 上 原因 ,所 以 在 进行 单位 网 络 的 安全 设计 和 部 署 时 , 除 防火 墙 等 安全 技术 和 产 
品 外 ,还 需要 使 用 防 病毒 系统 。 对 于 单位 内 部 网 络 ,建议 使 用 企业 级 防 病毒 系统 。 

4. 防火 墙 不 能 防范 内 部 用 户 的 恶意 破坏 

据 相 关 资 料 统计 ,目前 局 域 网 中 有 80% 以 上 的 网 络 破坏 行为 是 由 内 部 用 户 所 为 ,如 在 
局 域 网 中 窃取 其 他 主机 上 的 数据 、 对 其 他 主机 进行 网 络 攻击 和 散布 计算 机 病毒 等 。 这 些 行 
为 都 不 通过 位 于 局 域 网 出 口 处 的 防火 墙 ,防火 墙 对 其 无 能 为 力 。 

5. 防火 墙 本 身 也 存在 安全 问题 

防火 墙 的 工作 过 程 要 依赖 于 防火 墙 操作 系统 ,与 平常 所 使 用 的 Windows、Linux 等 操作 
系统 一 样 ,防火 墙 操作 系统 也 存在 安全 漏洞 ,而 且 防 火 墙 的 功能 越 强 . 越 复杂 ,其 漏洞 就 会 越 
多 。 目前 ,在 IP 网 络 中 使 用 的 防火 墙 是 基于 TCP/IP 模型 实现 的 ,而 TCP/IP 本 身 就 存在 
安全 问题 (详细 内 容 见 本 书 第 5 章 )。 所 以 ,影响 TCP/IP 安全 的 因素 同样 会 影响 防火 墙 的 
安全 ,防火 墙 在 功能 设计 上 就 存在 安全 隐患 。 例 如 ,如 果 防 火 墙 要 允许 用 户 使 用 HTTP 服 
务 就 必须 开放 TCP 80 端口 ,允许 用 户 使 用 FTP 服务 至 少 要 开放 TCP 20 端口 ,但 防火 墙 却 
无 法 防范 针对 已 开放 端口 的 DoS、DDoS 等 攻击 等 。 所 以 ,防火 墙 在 高 安全 性 方面 的 缺陷 驱 
使 用 户 追 求 更 高 安全 性 的 解决 方案 。 

6. 人 为 因素 在 很 大 程度 上 影响 了 防火 墙 的 功能 

防火 墙 仅仅 提供 了 安全 策略 ,但 具体 策略 的 配置 和 应 用 都 需要 由 网 络 管理 员 来 完成 , 即 
使 是 最 智能 化 的 防火 墙 也 不 可 能 会 了 解 用 户 的 安全 需求 ,也 不 会 自动 识别 所 有 的 安全 威胁 。 
网 络 管理 员 的 知识 水 平 .网 络 管理 员 对 单位 网 络 安全 需求 的 正确 定位 及 网 络 管理 员 对 具体 
使 用 的 防火 墙 产 品 的 熟悉 程度 等 人 为 因素 ,在 很 大 程度 上 决定 了 防火 墙 的 实际 应 用 效果 。 


8.3 防火 墙 的 基本 类 型 


作为 内 部 网 络 与 外 部 公共 网 络 之 间 的 一 道 屏障 ,防火 墙 是 最 先 受到 人 们 重视 的 网 络 安 
全 产品 之 一 。 对 于 防火 墙 的 工作 类 型 ,可 以 根据 不 同 的 方式 进行 分 类 。 例 如 ,按照 防火 墙 对 
数据 包 处 理 方式 的 不 同 , 可 以 分 为 包 过 滤 防 火 墙 和 代理 防火 墙 ( 也 称 * 应 用 层 网 关 防 火 墙 ” 
两 大 体系 ,前 者 主要 有 以 色 列 的 Chechpoint 防火 墙 和 Cisco PIX 防火 墙 ,后 者 主要 有 AI 公 
司 的 Cauntlet 防火 墙 。 考 虑 到 读者 的 需要 ,本 节 则 从 防火 墙 的 体系 结构 (或 架构 ) 入 手 , 介 
绍 防火 墙 的 基本 类 型 。 
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8.3.1 包 过 滤 防 火 墙 


包 过 滤 防 火 墙 是 最 早 使 用 的 一 种 防火 墙 技 术 , 它 在 网 络 的 进出 口 处 对 通过 的 数据 包 进 
行 检查 ,并 根据 已 设置 的 安全 策略 决定 数据 包 是 否 人 允许 通过 。 

1. IP 分 组 的 组 成 

要 学 习 包 过 滤 防 火 墙 的 功能 ,就 需要 掌握 数据 包 (IP 分 组 ) 的 组 成 结构 和 功能 。IP 分 组 
的 结构 如 图 8-4 所 示 。 


版 本 (4) | 头 长 度 (4) | 服务 类 型 (8) 部 长 度 (16) 
标识 (16) 标志 (3) 段位 移 (13) 
生存 期 (8) 协议 (8) 头 校 验 和 (16) 
源 卫 地 址 (32) 


目的 IP 地 址 (32) 
IP 选项 (如 果 有 ,0 或 32) 
数据 


图 8-4 _IP 头 格式 


图 中 , 除 “ 数 据 " 之 外 的 部 分 称 为 “IP 头 部 ”。IP 头 部 共 占 有 20 个 字 节 , 表 8-1 对 IP 头 
部 的 各 个 组 成 域 进行 了 简单 的 描述 。 


表 8-1 IP 头 部 的 功能 描述 


名 称 描述 

版 本 (VERS) 表明 了 一 个 数据 包 采 用 的 是 因特网 协议 的 哪个 版 本 。 对 于 IPv4, 这 个 
域 的 值 为 4 

头 长 度 (HLEN) 以 字 节 为 单位 的 报头 长 度 

服务 类 型 (Type of Service) 数据 包 的 处 理 方式 ,前 三 位 是 优先 级 

总 长 度 (Total Length) 报头 和 数据 的 总 长 度 

标识 (Indentification) 唯一 的 IP 数据 包 值 ,可 以 理解 为 IP 报 文 的 序列 号 ,用 于 识别 潜在 的 重 
复 报 文 等 

标志 (Flags) 指出 数据 包 是 否 存在 

段位 移 (Frag Offset) 也 称 为 片 偏 移 , 它 是 指 对 数据 包 分 片 以 允许 因特网 上 的 不 同 MTU 


生存 期 (Time to Live,TTL) 报头 的 存活 时 间 ,一 旦 该 计数 值 减 为 0, 该 报 就 被 丢弃 。TTL 用 于 限制 
一 个 IP 包 所 经 历 的 站 点 数 。 正 常设 为 64, 最 大 设 为 255,TTL 每 经 过 
一 个 路 由 器 便 减 1。 当 值 为 0 时 ,数据 包 被 丢弃 。 同 时 ,路 由 器 向 发 送 
者 返回 一 个 ICMP 超时 信息 。 通 常数 据 包 只 会 由 于 网 络 存 在 路 由 回路 
而 被 丢弃 。 例 如 , 当 第 一 台 路 由 器 认为 到 达 某 一 目的 端的 路 径 要 经 过 
第 二 台 路 由 器 ,而 第 二 台 路 由 器 又 认为 该 路 径 应 经 过 第 一 台 路 由 器 ,这 
时 会 发 生 什么 情况 呢 ? 当 第 一 台 路 由 器 接收 到 一 个 发 往 该 目的 地 址 的 
数据 包 时 , 它 会 将 数据 包 转 发 给 第 二 台 路 由 器 ,而 第 二 台 路 由 器 又 会 将 
数据 包 重 新 转发 给 第 一 台 路 由 器 .然后 第 一 台 路 由 器 又 将 包 转 发 回 第 
二 台 路 由 器 。 如 果 没 有 TTL, 这 个 包 就 会 在 这 两 台 路 由 器 构成 的 回路 
中 永远 转 下 去 。 这 样 的 回路 在 大 的 网 络 中 经 常会 出 现 

协议 (Protocol) 发 送 数据 包 的 上 层 ( 第 四 层 ) 协 议 


续 表 


名 称 描 述 


头 校 验 和 (Header Checksum) 报头 上 的 完整 性 检查 。 头 校 验 用 来 确认 接收 到 的 IP 报头 中 有 没有 差 
错 。 头 校 验 和 只 由 全 报头 中 的 各 个 域 计算 得 来 ,而 与 卫 包 的 净 荷 无 
关 .IP 包 净 荷 的 校 验 则 是 高 层 协 议 的 工作 。 如 果 目 的 地 计算 的 校 验 和 
与 报 文 所 含 的 校 验 和 不 同 , 那 么 这 个 数据 包 就 会 被 丢弃 

源 IP 地 址 (Source IP address) ”标识 发 送 方 通信 终端 设备 的 IP 地 址 

目的 IP 地 址 (Destination IP 标识 下 一 站 通信 终端 设备 的 IP 地 址 


address) 
IP 选项 (IP Options) 网 络 测试 ,调试 和 安全 等 功能 选项 
数据 (Data) 需要 被 传输 的 数据 


2. 包 过 滤 防 火 墙 的 工作 原理 

包 过 滤 (packet filter) 是 在 网 络 层 中 根据 事先 设置 的 安全 访问 策略 (过 滤 规 则 ) ,检查 每 
一 个 数据 包 的 源 IP 地 址 .目的 IP 地 址 及 IP 分 组 头 部 的 其 他 各 种 标志 信息 (如 协议 .服务 类 
型 等 ) ,确定 是 否 允许 该 数据 包 通 过 防火 墙 。 其 实 , 从 早期 的 包 过 滤 防 火 墙 开始 ,防火 墙 除 能 
够 根据 IP 分 组 的 头 部 信息 进行 数据 包 的 检查 外 ,还 能 够 检查 TCP 和 UDP 协议 及 使 用 的 端 
口 ,并 将 其 作为 数据 包 的 过 滤 规 则 。 为 此 , 包 过 滤 防 火 墙 同 时 工作 在 OSI 参考 模型 的 网 络 
层 和 传输 层 。 

包 过 滤 防 火 墙 中 的 安全 访问 策略 (过 滤 规 则 ) 是 网 络 管理 员 事 先 设 置 好 的 ,主要 通过 对 
进入 防火 墙 的 数据 包 的 源 IP 地 址 .目的 IP 地址 ,协议 及 端口 进行 设置 ,决定 是 否 允 许 数 据 
包 通 过 防火 墙 。 

例如 ,如 果 拒 绝 从 IP 地 址 为 172. 16. 1. 100 的 主机 发 出 的 数据 包 通 过 防火 墙 , 则 可 以 通 
过 类 似 于 下 面 的 一 条 命令 来 实现 : 


deny ip host 172.16.1.100 any 


如 果 允 许 使 用 80 号 端口 的 TCP 协议 和 使 用 20 号 端口 的 UDP 协议 的 数据 包 通 过 , 则 
可 以 通过 类 似 于 下 面 的 两 条 命令 来 实现 : 

permit tcp any any eq 80 

permit udp any any eq 20 


网 络 管理 员 可 以 根据 网 络 安全 的 实际 需要 ,通过 相应 的 命令 行 允许 (permit) 或 拒绝 
(deny) 数 据 包 通过 。 

如 图 8-5 所 示 , 当 网 络 管理 员 在 防火 墙 上 设置 了 过 滤 规 则 后 ,在 防火 墙 中 会 形成 一 个 过 
滤 规 则 表 。 当 数据 包 进 入 防火 墙 时 ,防火 墙 会 将 IP 分 组 的 头 部 信息 与 过 滤 规 则 表 进 行 逐条 
比 对 ,根据 比 对 结果 决定 是 否 允 许 数据 包 通过 。 假 设 某 一 防火 墙 的 过 滤 规 则 表 中 只 有 以 下 
的 4 条 规则 (实际 应 用 中 要 远 远 超过 4 条 ): 


deny ip host 172.16.1.100 any 
permit tcp any any eq 80 
permit udp any any eq 20 

deny ip any any 
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允许 
(permit) 
PA p22 A IP 分 组 3 
IP 分 组 1 1p 分 组 1 


图 8-5 包 过 滤 防 火 墙 工作 示意 图 


防火 墙 的 过 滤 规 则 表 其 实 是 一 个 访问 控制 列表 (Access Control List, ACL), 当 数据 包 
进入 防火 墙 时 ,防火 墙 首先 提取 IP 分 组 的 头 部 信息 ,然后 再 与 ACL 中 的 条 目 从 上 到 下 进行 
一 一 比 对 。 如 果 第 一 条 规则 不 匹配 ,就 开始 检查 第 二 条 规则 , 依 此 类 推 。 当 ACL 中 的 某 一 
条 规则 匹配 时 ,防火 墙 开 始 执 行 该 规则 ,不 再 进行 以 下 条 目的 检查 。 

3. 包 过 滤 防 火 墙 的 应 用 特点 

包 过 滤 防 火 墙 是 一 种 技术 非常 成 熟 , 应 用 非常 广泛 的 防火 墙 技 术 , 具 有 以 下 主要 特点 。 

(1) 过 滤 规 则 表 需 要 事先 进行 人 工 设置 ,规则 表 中 的 条 目 根据 用 户 的 安全 要 求 来 定 。 

(2) 防火 墙 在 进行 检查 时 ,首先 从 过 滤 规 则 表 中 的 第 一 个 条 目 开 始 逐 条 进行 ,所 以 过 滤 
规则 表 中 条 目的 先后 顺序 非常 重要 。 当 网 络 管理 员 要 添加 新 的 过 滤 规 则 时 ,不 能 简单 地 添 
加 在 规则 表 的 最 前 面 或 最 后 面 ,而 是 要 视 具体 规则 的 应 用 特点 来 确定 其 位 置 。 

(3) 由 于 包 过 滤 防 火 墙 工作 在 OSI 参考 模型 的 网 络 层 和 传输 层 ,所 以 包 过 滤 防 火 墙 对 
通过 的 数据 包 的 速度 影响 不 大 ,实现 成 本 较 低 。 但 包 过 滤 防 火 墙 无 法 识别 基于 应 用 层 的 恶 
意 人 侵 ,例如 恶意 Java 小 程序 、 携 带 在 电子 邮件 中 的 病毒 等 。 另外 , 包 过 滤 防 火 墙 不 能 识 
别 IP 地址 的 欺骗 ,内 部 非 授 权 的 用 户 可 以 通过 伪装 成 为 合法 IP 地 址 的 使 用 者 来 访问 外 
部 网 络 , 同 样 外 部 被 限制 的 主机 也 可 以 通过 使 用 合法 的 IP 地址 来 欺骗 防火 墙 进 入 内 部 
网 络 。 


8.3.2 代理 防火 墙 


代理 防火 墙 也 称 为 应 用 层 网 关 防 火 墙 。 这 里 的 代理 (proxy) 类 似 于 今天 社会 上 的 中 介 
公司 或 经 纪 人 , 即 真正 参与 交流 的 双方 必须 借助 于 第 三 方 ( 即 代 理 ) 来 完成 ,否则 他 们 之 间 是 
完全 隔离 的 。 

1. 代理 防火 墙 的 工作 原理 

代理 防火 墙 具有 传统 的 代理 服务 器 和 防火 墙 的 双重 功能 。 如 图 8-6 所 示 ,代理 服务 器 
位 于 客户 机 与 服务 器 之 间 ,完全 阻挡 了 二 者 间 的 数据 交流 。 从 客户 机 来 看 ,代理 服务 器 相当 
于 一 台 真 正 的 服务 器 ; 而 从 服务 器 来 看 ,代理 服务 器 仅 是 一 台 客 户 机 。 代 理 防 火 墙 的 工作 
原理 是 将 每 一 个 从 内 部 网 络 到 外 部 网 络 的 连接 请 求 ,分 为 两 个 组 成 部 分 : 首先 ,代理 服务 器 
根据 安全 过 滤 规 则 决定 是 否 允 许 这 个 连接 ,如 果 人 允许 则 代理 服务 器 就 代替 客户 机 向 外 部 网 
络 中 的 服务 器 发 出 请 求 ; 然后 ,当代 理 服 务 器 接收 到 外 部 网 络 中 的 服务 器 发 送 回来 的 响应 
数据 包 时 ,同样 要 根据 安全 过 滤 规 则 决定 是 否 让 该 数据 包 进入 内 部 网 络 ,如果 允许 这 个 数据 
包 进入 ,代理 服务 器 便 将 其 转发 给 内 部 网 络 中 发 起 请 求 的 客户 机 。 
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由 图 8-6 可 以 看 出 ,代理 防火 墙 无 论 是 接收 到 内 部 网 络 发 出 的 请 求 ,还 是 接收 外 部 服务 
器 返回 的 响应 ,都 要 进行 安全 策略 (协议 分 析 和 规则 过 滤 ) 的 处 理 。 只 有 与 安全 策略 相 匹 配 
的 数据 才能 交 给 代理 服务 器 继续 进行 处 理 。 例 如 , 当 内 部 网 络 中 的 客户 机 向 外 部 的 某 一 台 
Web 服务 器 发 出 http 访问 请 求 时 ,代理 服务 器 首先 根据 安全 策略 检查 是 否 允许 http 请 求 
通过 。 如 果 代 理 服务 器 允许 该 http 请 求 通过 , 则 将 其 交 给 代理 服务 器 进行 处 理 。 从 外 部 的 
Web 服务 器 返回 的 响应 数据 也 要 经 过 相同 的 处 理 过 程 。 

在 整个 通信 过 程 中 ,网 络 的 连接 和 转发 对 用 户 来 说 是 完全 透明 的 ,所 有 操作 都 由 代理 防 
火 墙 自 动 处 理 。 目 前 ,代理 防火 墙 可 以 支持 对 常见 的 HTTP、HTTPS.SSL、SMTP、POP3、 
IMAP .SNMP .Telnet 和 FTP 等 应 用 层 协 议 的 代理 ,同时 一 些 新 的 应 用 层 协 议 还 会 逐渐 加 
入 其 中 。 

2. 代理 防火 墙 的 应 用 特点 

包 过 滤 防 火 墙 可 以 根据 IP 分 组 的 头 部 信息 来 决定 数据 包 是 否 允 许 通 过 ,但 它 无 法 根据 
应 用 层 的 协议 进行 访问 控制 ,所 以 包 过 滤 防 火 墙 主要 应 用 于 安全 功能 较为 单一 的 中 小 型 网 
络 。 对 于 大 中 型 企业 网 络 来 说 ,代理 防火 墙 可 以 通过 对 应 用 层 协议 的 控制 ,实现 对 具体 应 用 
的 控制 和 安全 管理 。 代 理 防 火 墙 具 有 以 下 的 主要 特点 。 

(1) 代理 防火 墙 可 以 针对 应 用 层 进行 检测 和 扫描 ,可 有 效 地 防止 应 用 层 的 恶意 入 侵 和 
病毒 。 

(2) 代理 防火 墙 具 有 较 高 的 安全 性 。 由 于 每 一 个 内 外 网 络 之 间 的 连接 都 要 通过 代理 服 
务 器 的 介 人 和 转换 ,而 且 在 代理 防火 墙 上 会 针对 每 一 种 网 络 应 用 (如 HTTP) 使 用 特定 的 应 
用 程序 来 处 理 。 当 一 个 数据 包 到 达 代 理 防 火 墙 时 ,代理 防火 墙 首先 检查 是 否 有 针对 该 数据 
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包 的 应 用 层 协 议 ,如 果 没 有 则 直接 丢弃 。 

(3) 代理 服务 器 通常 拥有 高 速 缓存 ,缓存 中 保存 了 用 户 最 近 访 问 过 的 站 点 内 容 。 当 下 
一 个 用 户 要 访问 同样 的 站 点 时 ,代理 服务 器 就 直接 利用 缓存 中 的 内 容 , 而 不 需要 再 次 建立 与 
远程 服务 器 之 间 的 连接 ,节约 了 时 间 和 网 络 资源 ,在 一 定 程度 上 提高 了 内 部 用 户 访问 外 部 服 
务 器 的 速度 。 

(4) 代理 防火 墙 的 缺点 是 对 系统 的 整体 性 能 有 较 大 的 影响 ,系统 的 处 理 效率 会 有 所 下 
降 , 因 为 代理 型 防火 墙 对 数据 包 进 行内 部 结构 的 分 析 和 处 理 , 这 会 导致 数据 包 的 吞吐 能 力 降 
低 ( 低 于 包 过 滤 防 火 墙 ) 。 


8.3.3 状态 检测 防火 墙 


状态 检测 防火 墙 又 称 动态 包 过 滤 防 火 墙 ,是 在 传统 包 过 滤 防 火 墙 的 基础 上 发 展 起 来 的 。 
因此 ,将 传统 的 包 过 滤 防 火 墙 称 为 静态 包 过 滤 防 火 墙 ,而 将 状态 检测 防火 墙 称 为 动态 包 过 滤 
防火 墙 。 

1. 静态 包 过 滤 的 缺陷 

要 掌握 状态 检测 防火 墙 的 工作 原理 ,其 实 是 掌握 静态 包 过 滤 和 动态 包 过 滤 技 术 的 区 别 。 
静态 包 过 滤 防 火 墙 根据 预先 定义 好 的 过 滤 规 则 检查 每 一 个 数据 包 , 从 而 决定 该 数据 包 是 否 
通过 防火 墙 。 过 滤 规 则 基于 数据 包 的 头 部 信息 进行 制定 ,其 中 包括 源 IP 地 址 .目的 IP 地 
址 、 传 输 协 议 ( 如 TCP.UDP 和 ICMP 等 )、TCP/UDP 端口 和 ICMP 消息 等 类 型 。 静 态 包 过 
滤 防 火 墙 要 遵循 的 一 条 基本 准则 是 “最 小 特权 原则 ”, 即 明确 允许 某 些 数据 包 的 通过 ,而 拒绝 
其 他 的 一 切 数据 包 。 

由 于 静态 包 过 滤 技 术 要 检查 进入 防火 墙 的 每 一 个 数据 包 , 所 以 在 一 定 程度 上 影响 了 网 
络 的 通信 速度 。 另 外 ,静态 包 过 滤 技 术 固 定 地 根据 包 的 头 部 信息 进行 规则 的 匹配 ,这 种 方法 
在 遇 到 利用 动态 端口 的 应 用 协议 时 就 会 出 现 问题 。 例 如 ,FTP 通信 在 整个 通信 过 程 中 使 用 
了 两 种 类 型 的 TCP 连接 : 控制 连接 和 数据 连接 。 其 中 ,控制 连接 用 于 客户 端 与 服务 器 之 间 
交互 协商 与 命令 的 传输 ,而 数据 连接 用 于 客户 端 与 服务 器 之 间 传 输 数 据 。 首 先 来 看 控制 连 
接 的 建立 过 程 : 客户 端 向 服务 器 固定 的 21 号 端口 发 起 TCP 连接 请 求 希望 建立 FTP 控制 
连接 。 对 于 静态 包 过 滤 防 火 墙 来 说 ,如 果 不 允许 用 户 使 用 FTP 服务 ,就 可 以 直接 在 防火 墙 
上 关闭 TCP 21 端口 。 但 是 ,如 果 静 态 防 火 墙 允许 用 户 使 用 FTP 服务 时 情况 又 是 怎么 样 
呢 ? 这 时 当 客 户 端 向 服务 器 的 21 号 端口 发 起 TCP 连接 请 求 时 ,如 果 服 务 器 同意 与 客户 端 
建立 连接 ,首先 客户 端 与 服务 器 会 在 控制 连接 信息 中 交换 用 于 数据 传输 的 TCP 端口 ,这 一 
端口 一 般 在 1024 一 65535 之 间 。 然 后 客户 端 与 服务 器 之 间 使 用 彼此 交换 后 的 TCP 端口 进 
行 数据 传输 , 即 进入 数据 连接 过 程 。 由 以 上 过 程 可 以 看 出 ,数据 连接 中 使 用 的 端口 是 动态 
的 , 即 每 次 使 用 的 端口 都 有 可 能 不 同 ,而 静态 防火 墙 无 法 知道 哪些 端口 需要 打开 。 如 果 要 在 
静态 防火 墙 上 允许 用 户 使 用 FTP 服务 ,就 需要 将 所 有 可 能 的 端口 打开 ,同时 在 通信 结束 后 
防火 墙 也 不 会 自动 关闭 这 些 端口 。 这 也 会 存在 一 定 的 安全 隐患 。 

2. 状态 检测 技术 及 优势 

在 静态 包 过 滤 技 术 中 检查 的 数据 包 称 为 无 状态 包 。 无 状态 包 之 间 是 独立 存在 的 ,防火 
墙 关心 的 仅 是 数据 包 的 静态 信息 (如 源 IP 地 址 .目的 IP 地 址 和 端口 等 ) ,而 不 关心 数据 包 的 
历史 和 未 来 情况 。 动 态 包 过 滤 技 术 中 检查 的 数据 包 称 为 有 状态 包 。 有 状态 包 之 间 是 关联 


的 , 即 多 个 数据 包 之 间 会 存在 一 些 共性 。 例 如 ,在 一 次 FTP 通信 过 程 中 ,所 有 的 控制 连接 和 
数据 连接 之 间 都 存在 共性 : 由 谁 ( 以 客户 端的 IP 地 址 为 主 ) 发 出 请 求 、 由 谁 (以 服务 器 的 了 
地 址 为 主 ) 得 到 响应 及 在 数据 传输 中 使 用 的 TCP 端口 是 什么 等 。 

状态 检测 技术 即 动态 包 过 滤 技 术 。 状 态 检测 防火 墙 检 查 的 不 仅仅 是 数据 包 中 的 头 部 信 
息 ,而 且 会 跟踪 数据 包 的 状态 , 即 不 同 数据 包 之 间 的 共性 。 还 以 前 面 介绍 的 FTP 通信 过 程 
为 例 ,在 状态 检测 防火 墙 中 ,一旦 允许 客户 端 与 服务 器 之 间 的 数据 传输 ,状态 检测 防火 墙 就 
会 在 缓存 中 记录 最 近 的 连接 信息 : 是 某 一 特定 IP 地 址 的 FTP 应 用 程序 与 某 一 特定 IP 地 
址 的 服务 器 之 间 使 用 某 一 TCP 端口 建立 的 连接 。 当 这 一 FTP 通信 过 程 中 的 后 续 数 据 包 进 
入 防火 墙 时 ,防火 墙 就 会 与 缓存 中 的 连接 信息 进行 匹配 ,如 果 相 同 就 被 允许 通信 。 

状态 检测 防火 墙 的 关键 技术 是 实现 连接 的 跟踪 功能 。 对 于 单一 连接 的 协议 (如 SMTP、 
HTTP 等 ) 来 说 相对 比较 简单 ,只 需要 数据 包 的 头 部 信息 就 可 以 进行 跟踪 。 但 是 ,对 于 一 些 
复杂 的 协议 (如 FTP ,一些 多 媒体 通信 协议 及 一 些 数据 库 通信 中 使 用 的 协议 等 ), 除 了 使 用 

个 公开 的 连接 端口 建立 控制 连接 外 ,在 通信 过 程 中 还 会 动态 建立 子 连 接 进行 数据 传输 ,而 

子 连 接 (一 般 为 数据 连接 ) 中 使 用 的 端口 是 在 主 连接 (控制 连接 ) 中 通过 协商 得 到 的 随机 值 。 
因此 ,对 于 这 类 复杂 的 协议 ,如 果 使 用 静态 包 过 滤 技 术 就 只 能 打开 所 有 可 能 使 用 到 的 端 
口 , 带 来 了 安全 隐患 。 对 于 状态 检测 防火 墙 , 则 能 够 进一步 分 析 主 连接 中 的 信息 ,识别 出 
所 协商 的 子 连 接 的 端口 ,并 在 防火 墙 上 将 其 打开 ,连接 结束 时 自动 关闭 ,保证 了 系统 的 安 
全 性 。 

3. 状态 检测 防火 墙 的 工作 过 程 

状态 检测 防火 墙 的 工作 过 程 如 图 8-7 所 示 。 在 状态 检测 防火 墙 中 有 一 个 状态 检测 表 ， 
它 由 规则 表 和 连接 状态 表 两 部 分 组 成 。 状 态 检测 防火 墙 的 工作 过 程 是 : 首先 利用 规则 表 进 
行 数据 包 的 过 滤 , 此 过 程 与 静态 包 过 滤 防 火 墙 基本 相同 。 如 果 某 一 个 数据 包 ( 如 “IP 分 组 
B1”) 在 进入 防火 墙 时 ,规则 表 拒 绝 它 通 过 , 则 防火 墙 直 接 丢 弃 该 数据 包 , 与 该 数据 包 相 关 的 
后 续 数 据 包 ( 如 “IP 分 组 B2”“IP 分 组 B3” 等 ) 同 样 会 被 拒绝 通过 。 

如 果菜 一 个 数据 包 ( 如 “IP 分 组 A1”) 在 进入 防火 墙 时 ,与 该 规则 表 中 的 某 一 条 规则 (如 
是 “规则 3”) 相 匹配 ,并 允许 其 通过 。 此 时 ,状态 检测 防火 墙 会 分 析 已 通过 的 数据 包 (*IP 分 
组 A1”) 的 相关 信息 ,并 在 连接 状态 表 中 为 这 一 次 通信 过 程 建立 一 个 连接 (如 “连接 1”)。 之 
后 , 当 同 一 通信 过 程 中 的 后 续 数据 包 ( 如 “IP 分 组 A2”、“IP 分 组 A3”、…、“IP 分 组 An”) 进 
入 防火 墙 时 ,状态 检测 防火 墙 不 再 进行 规则 表 的 匹配 ,而 是 直接 与 连接 状态 表 进行 匹配 。 由 
于 后 续 的 数据 包 与 已 允许 通过 防火 墙 的 数据 包 *IP 分 组 Al 具有 相同 的 连接 信息 ,所 以 会 
直接 允许 其 通过 。 

4. 跟踪 连接 状态 的 方式 

状态 检测 防火 墙 跟踪 连接 状态 的 方式 取决 于 所 使 用 的 传输 层 协议 ,下 面 进行 简要 的 分 
析 和 介绍 。 

(1) TCP 数据 包 。 当 建立 一 个 TCP 连接 时 需要 进行 三 次 握手 ( 详 见 本 书 第 5 章 ) ,其 中 
发 起 连接 请 求 的 数据 包 中 包含 有 SYN 的 标志 。 除 特殊 设置 外 ,状态 检测 防火 墙 可 以 让 由 
内 部 发 起 的 TCP 连接 请 求 通过 ,同时 在 缓存 中 记录 这 次 连接 的 相关 信息 ,而 丢弃 所 有 外 部 
网 络 中 发 起 的 TCP 连接 请 求 。 如 果 从 外 部 网 络 中 传人 状态 检测 防火 墙 的 数据 包 是 响应 数 
据 包 , 则 允许 其 进入 ,然后 再 与 相关 策略 进行 匹配 ,决定 是 否 允 许 进 入 内 部 网 络 。 
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以 上 特殊 设置 主要 是 在 防火 墙 上 通过 NAT 功能 建立 的 内 部 私有 IP 地 址 与 外 部 公有 
IP 地 址 之 间 的 一 对 一 连接 , 即 为 了 使 外 部 网 络 中 的 用 户 能 够 访问 内 部 网 络 中 的 服务 器 而 设 
置 的 内 外 IP 地 址 之 间 的 静态 映射 。 

(2) UDP 数据 包 。 与 TCP 数据 包 相 比 ， 
UDP 数据 包 相对 要 简单 得 多 ,位 于 传输 层 的 一 个 
UDP 数据 包 除 数据 外 ,只 包含 源 端口 .目的 端口 、 | 报 文 长 度 (2 字 节 | 校 验 和 (2 字 节 ) 
报 文 长 度 和 校 验 和 4 个 区 域 的 头 部 信息 ,如 图 8-8 数据 
所 示 。 图 8-8 UDP 数据 包 的 结构 

同时 ,UDP 数据 包 的 传输 不 需要 进行 三 握手 过 程 。 这 使 得 状态 检测 防火 墙 不 能 采用 对 
TCP 数据 包 的 跟踪 方式 来 跟踪 UDP 数据 包 。 但 是 ,通过 跟踪 数据 包 的 状态 情况 就 可 以 解 
决 这 一 问题 。 因 为 不 管 是 TCP 连接 还 是 UDP 连接 ,都 需要 由 用 户 发 出 连接 请 求 , 所 以 当 内 
部 网 络 中 的 客户 端 向 外 部 网 络 中 的 服务 器 发 出 连接 请 求 时 ,如 果 状 态 检测 防火 墙 允许 这 一 
请 求 通过 ,就 会 在 缓存 中 保存 相应 的 连接 信息 。 这 样 ,对 从 外 部 网 络 中 进入 防火 墙 的 UDP 
数据 包 , 就 可 以 在 检查 它 的 地 址 和 协议 后 ,通过 与 缓存 中 保存 的 连接 信息 进行 比较 ,决定 是 
否 允 许 该 UDP 数据 包 进入 内 部 网 络 。 

因 以 上 分 析 可 知 , 对 于 状态 检查 防火 墙 来 说 , 除 特殊 设置 外 ,所 有 从 外 部 网 络 发 起 的 连 
接 请 求 是 不 允许 通过 的 。 

5. 状态 检测 防火 墙 的 应 用 特点 

状态 检测 防火 墙 综合 应 用 了 静态 包 过 滤 防 火 墙 的 成 熟 技 术 ,并 对 其 功能 进行 了 扩展 ,可 
在 OSI 参考 模型 的 多 个 层次 对 数据 包 进行 跟踪 检查 ,其 实用 性 得 到 了 加 强 。 状 态 检测 防火 
墙 具 有 以 下 主要 特点 。 

(1) 与 静态 包 过 滤 防 火 墙 相 比 ,采用 动态 包 过 滤 技 术 的 状态 检测 防火 墙 通过 对 数据 包 
的 跟踪 检测 技术 ,解决 了 静态 包 过 滤 防 火 墙 中 某 些 应 用 需要 使 用 动态 端口 时 存在 的 安全 隐 
患 ,解决 了 静态 包 过 滤 防 火 墙 存 在 的 一 些 缺 陷 。 


源 端口 (2 字 节 ) 目的 端口 (2 字 节 ) 


(2) 与 代理 防火 墙 相 比 ,状态 检测 防火 墙 不 需要 中 断 直接 参与 通信 的 两 台 主机 之 间 的 
连接 ,对 网 络 速度 的 影响 较 小 。 

(3) 状态 检测 防火 墙 具 有 新 型 的 分 布 式 防火 墙 的 特征 。 状 态 检测 防火 墙 产品 还 可 以 使 
用 分 布 式 探测 器 ,这 些 探测 器 安置 在 各 种 应 用 服务 器 和 其 他 网 络 设备 上 。 所 以 ,状态 检测 防 
火 墙 不 但 可 以 对 外 部 网 络 的 攻击 进行 检测 ,同时 可 以 对 内 部 网 络 的 恶意 破坏 进行 防范 。 这 
使 状态 检测 防火 墙 已 超出 了 对 防火 墙 的 传统 定义 。 

(4) 状态 检测 防火 墙 的 不 足 主 要 表现 为 : 对 防火 墙 CPU 内存 等 硬件 要 求 较 高 ,安全 性 
主要 依赖 于 防火 墙 操作 系统 的 安全 性 ,安全 性 不 如 代理 防火 墙 。 其 实 ,状态 检测 防火 墙 提供 
了 比 代理 防火 墙 更 强 的 网 络 吞 吐 能 力 和 比 静 态 包 过 滤 防 火 墙 更 高 的 安全 性 ,在 网 络 的 安全 
性 和 数据 处 理 效率 这 两 个 相互 矛盾 的 因素 之 间 进 行 了 较 好 的 平衡 。 


8.3.4 分 布 式 防火 墙 


分 布 式 防火 墙 是 近年 来 发 展 起 来 的 一 种 新 型 的 防火 墙 体系 结构 , 它 将 传统 的 防火 墙 技 
术 和 分 布 式 网 络 应 用 进行 了 有 机 结合 ,具有 广泛 的 研究 和 应 用 前 景 。 

1. 传统 防火 墙 的 不 足 

虽然 本 章 前 面 介绍 的 几 类 传统 防火 墙 仍然 是 现代 计算 机 网 络 安全 防范 的 支柱 ,但 在 安 
全 要 求 较 高 的 大 型 网 络 中 存在 一 些 不 足 ,主要 表现 如 下 。 

(1) 结构 性 限制 。 传 统 的 防火 墙 属于 一 种 边界 安全 设备 ,所 以 也 称 为 边界 防火 墙 。 但 
边界 防火 墙 的 工作 机 理 依赖 于 网 络 的 物理 拓扑 结构 。 如 今 , 越 来 越 多 的 跨 地 区 企业 利用 
Internet 来 构架 自己 的 网 络 ,致使 企业 内 部 网 络 已 基本 上 成 为 一 个 多 辑 概念 ,所 以 用 传统 的 
方式 来 区 别 内 外 网 络 已 非常 困难 。 

(2) 防 外 不 防 内 。 虽 然 有 些 传 统 的 防火 墙 ( 如 状态 检测 防火 墙 ) 可 以 防止 内 部 用 户 的 恶意 
破坏 ,但 在 绝 大 多 数 情况 下 ,用 户 使 用 和 配置 防火 墙 时 还 是 主要 防止 来 自 外 部 网 络 的 入侵 。 

(3) 效率 问题 。 传 统 防火 墙 把 检查 机 制 集中 在 网 络 边 界 处 的 单一 节点 上 ,所 以 防火 墙 
容易 形成 网 络 的 瓶颈 。 虽 然 防火 墙 产 品 可 以 通过 提高 处 理 能 力 来 尽 可 能 地 解决 瓶颈 问题 ， 
但 网 络 应 用 的 复杂 性 却 在 另 一 方面 增加 了 防火 墙 的 压力 。 

(4) 故障 问题 。 传 统 防火 墙 本 身 也 存在 着 单 点 故障 问题 。 一 旦 处 于 安全 节点 上 的 防火 
墙 出 现 故障 或 被 入侵 ,整个 内 部 网 络 将 完全 暴露 在 外 部 攻击 者 的 面前 。 

2. 分 布 式 防火 墙 的 概念 

为 了 解决 传统 防火 墙 正在 面临 的 问题 ,美国 AT&T 实验 室 研 究 员 Steven M. Bellovin 
于 1999 年 在 他 的 论文 “分 布 式 防火 墙 (Distributed Firewalls,DFW)” 中 首次 提出 了 分 布 式 
防火 墙 的 概念 。 在 该 论文 中 提供 了 DFW 的 方案 : 策略 集中 定制 ,在 各 台 主 机 上 执行 ,日 志 
集中 收集 处 理 。 根 据 DFW 所 需要 完成 的 功能 ,分 布 式 防火 墙 系统 由 以 下 三 部 分 组 成 : 

(1) 网 络 防火 墙 。 承 担 着 与 传统 边界 防火 墙 相 同 的 职能 ,负责 内 外 网 络 之 间 不 同安 全 
域 的 划分 。 同 时 ,用 于 对 内 部 网 各 子 网 之 间 的 防护 。 与 传统 边界 防火 墙 相 比 ,分 布 式 防火 墙 
中 的 网 络 防火 墙 增加 了 一 种 用 于 对 内 部 子 网 之 间 的 安全 防护 ,这 样 使 分 布 式 防火 墙 实 现 了 
对 内 部 网 络 的 安全 管理 功能 。 

(2) 主机 防火 墙 。 为 了 扩大 防火 墙 的 应 用 范围 ,在 分 布 式 防火 墙 系统 中 设置 了 主机 防 
火 墙 。 主 机 防火 墙 驻 留 在 主机 中 ,并 根据 相应 的 安全 策略 对 网 络 中 的 服务 器 及 客户 端 计算 
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机 进行 安全 保护 。 

根据 实现 方式 的 不 同 ,主机 防火 墙 可 以 分 为 主机 驻 留 和 散人 操作 系统 内 核 两 种 方式 。 其 
中 ,主机 驻 留 是 指 防 火 墙 功能 驻 留 在 主机 的 内 存 中 ,对 主机 进行 实时 的 安全 保护 。 主 机 驻 留 类 
似 于 单机 中 使 用 的 个 人 防火 墙 , 它 只 负责 对 本 地 主机 进行 安全 保护 ,不 信赖 除 本 地 主机 外 的 其 
他 主机 。 租 入 操作 系统 内 核 方 式 主要 防范 由 于 操作 系统 自身 存在 的 安全 漏洞 而 引起 的 安全 问 
题 , 如 Windows XP/2003/Vista 自 带 的 “Windows 防火 墙 "。 这 种 类 型 的 主机 防火 墙 的 安全 程 
序 直接 嵌入 到 操作 系统 的 内 核 中 运行 ,直接 接管 网 卡 ,检查 进入 操作 系统 的 所 有 数据 包 。 

(3) 中 心 管理 服务 器 。 是 整个 分 布 式 防 火 墙 的 管理 核心 ,负责 安全 策略 的 制定 、 分 发 及 
日 志 收 集 和 分 析 等 操作 。 

3. 分 布 式 防火 墙 的 工作 模式 

分 布 式 防火 墙 的 基本 工作 模式 是 : 由 中 心 管理 服务 器 统一 制定 安全 策略 ,然后 将 这 些 定 
义 好 的 策略 分 发 到 各 个 相关 节点 。 而 安全 策略 的 执行 则 由 相关 主机 节点 独立 实施 ,由 各 主机 
产生 的 安全 日 志 集 中 保存 在 中 心 管理 服务 器 上 。 分 布 式 防火 墙 的 工作 模式 如 图 8-9 所 示 。 
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图 8-9 分 布 式 防火 墙 的 工作 模式 


由 图 8-9 可 以 看 出 ,在 分 布 式 防 火 墙 中 已 不 再 完全 依赖 网 络 的 拓扑 结构 来 定义 不 同 的 
安全 域 ,可 信赖 的 内 部 网 络 发 生 了 概念 上 的 变化 ,内 部 网 络 已 成 为 一 个 巡 辑 上 的 网 络 ,从 而 
打破 了 传统 防火 墙 对 网 络 拓扑 的 依赖 。 但 是 ,各 主机 节点 在 处 理 数据 包 时 ,必须 根据 中 心 管 
理 服 务 器 所 分 发 的 安全 策略 来 决定 是 否 人 允许 某 一 数据 包 通过 防火 墙 。 

4. 分 布 式 防火 墙 的 应 用 特点 

由 于 在 分 布 式 防火 墙 中 采用 了 中 心 管 理 服务 器 对 整个 防火 墙 系统 进行 集中 管理 的 方 
式 , 其 中 安全 策略 在 统一 制定 后 被 强行 分 发 到 各 个 节点 ,所 以 分 布 式 防火 墙 不 仅 保留 了 传统 
防火 墙 的 优点 ,同时 还 解决 了 传统 防火 墙 在 应 用 中 存在 的 对 网 络 物理 拓扑 结构 的 依赖 、 内 部 
恶意 破坏 和 网 络 应 用 瓶颈 等 不 足 。 分 布 式 防火 墙 的 应 用 优势 主要 表现 在 如 下 方面 。 

(1) 增加 了 针对 主机 的 入 侵 检测 和 防护 功能 ,加 强 了 对 来 自 内 部 网 络 的 攻击 防范 ,可 以 
实施 全 方位 的 安全 策略 。 

(2) 提高 了 系统 性 能 ,克服 了 结构 性 瓶颈 问题 。 


(3) 与 网 络 的 物理 拓扑 结构 无 关 , 支 持 VPN 和 移动 计算 等 应 用 ,应 用 更 加 广泛 。 

5. 分 布 式 防火 墙 产 品 

虽然 分 布 式 防火 墙 技 术 的 提出 相对 较 晚 ,但 相应 的 产品 非常 丰富 。 目 前 ,从 总 体 来 看 ， 
国外 的 一 些 著 名 网 络 设备 制造 商 ( 如 3COM、Cisco 和 美国 网 络 安全 系统 公司 等 ) 在 分 布 式 
防火 墙 技 术 方 面 更 加 先进 ,所 提供 的 产品 性 能 也 比较 高 。 在 众多 的 分 布 式 防火 墙 产 品 中 ,一 
般 采用 “软件 十 硬件 ”和 “ 纯 软 件 ” 两 种 形式 。 采 用 “软件 十 硬件 ”的 分 布 式 防火 墙 , 一 般 网 络 
防火 墙 使 用 硬件 形式 ,而 主机 防火 机 采用 软件 形式 。 

例如 ,3COM 公司 近期 发 布 的 嵌入 式 防 火 墙 就 是 一 种 基于 “硬件 十 软件 ”的 分 布 式 防火 
墙 产 品 。 其 中 ,主机 防火 墙 被 嵌入 到 网 卡 中 ,通过 中 心 管理 服务 器 来 实现 集中 管理 。 这 种 内 
入 式 防火 墙 技术 把 硬件 解决 方案 的 强健 性 和 集中 式 管 理 软件 解决 方案 的 灵活 性 结合 在 一 
起 ,从 而 创建 了 一 种 更 加 全 面 的 安全 基础 架构 。 

再 如 ,北京 安 软 科技 有 限 公 司 推出 的 一 个 具备 三 层 过 滤 结 构 的 软件 防火 墙 产 品 
EverLink DFW。 它 依靠 包 过 滤 木马 过 滤 和 脚本 过 滤 的 三 层 过 滤 检 查 ,保护 个 人 计算 机 在 
正常 使 用 网 络 时 不 会 受到 恶意 的 攻击 ,提高 了 网 络 的 安全 性 。 同 时 ,为 方便 管理 ,所 有 分 布 
在 各 主机 节点 的 主机 防火 墙 的 安全 策略 由 中 心 管理 服务 器 进行 统一 设置 和 维护 ,降低 了 分 
布 式 防火 墙 的 使 用 成 本 ,同时 提高 了 安全 保障 能 力 。 


8.4 个 人 防火 墙 技术 


本 章 前 面 介 绍 的 防火 墙 概念 和 主要 实现 技术 一 般 都 是 针对 单位 用 户 而 言 的 ,所 以 将 这 
类 防火 墙 也 称 为 企业 级 防火 墙 。 企 业 级 防火 墙 虽然 功能 强大 ,但 价格 昂贵 .配置 困难 、 维 护 
复杂 ,需要 具有 一 定安 全 知识 的 专业 人 员 来 配置 和 管理 。 近 年 来 , 随 着 以 家 庭 用 户 为 代表 的 
个 人 计算 机 的 不 断 普及 ,个 人 防火 墙 技术 开始 出 现 并 得 到 了 广泛 应 用 。 


8.4.1 个 人 防火 墙 概述 


与 企业 级 防火 墙 相 比 ,个 人 防火 墙 的 出 现 相对 较 晚 ,但 应 用 功能 较为 全 面 ,而 且 策 略 的 
设置 比较 简单 ,适合 普通 用 户 的 应 用 需求 。 

1. 个 人 防火 墙 的 产生 动因 

随 着 以 Internet 为 主 的 互联 网 技术 在 商业 领域 中 应 用 价值 的 不 断 提升 ,为 了 提高 企业 
的 竞争 力 并 追求 企业 效益 的 高 大 化 ,现在 大 大 小 小 的 企业 都 接 入 到 了 互联 网 。 所 有 接 入 到 
互联 网 的 企业 都 存在 内 部 机 密 数 据 被 窃取 ,修改 或 次 用 的 危险 ,为 解决 这 一 安全 问题 ,企业 
级 防火 墙 得 到 了 用 户 的 普遍 重视 和 应 用 。 

从 1985 年 第 一 个 在 Cisco 网 络 产品 的 操作 系统 (IOS) 上 提供 的 防火 墙 到 现在 ,防火 墙 
产品 已 经 从 最 初 的 静态 包 过 滤 技 术 发 展 到 随后 的 代理 ,动态 包 过 滤 ( 状 态 检 测 ) 及 现在 的 分 
布 式 防火 墙 技 术 。 由 于 企业 网 络 应 用 的 多 样 性 和 复杂 性 ,虽然 企业 级 防火 墙 从 技术 上 不 断 
推陈出新 ,以 应 对 不 断 出 现 的 网 络 安全 威胁 ,但 企业 级 防火 墙 价格 昂贵 .配置 和 管理 复杂 、 缺 
乏 结构 的 灵活 性 、 防 范 策略 总 滞后 于 安全 威胁 ,在 很 大 程度 上 影响 了 企业 级 防火 墙 产 品 向 家 
庭 .小 型 办 公用 户 的 扩展 。 为 保护 单机 用 户 接 入 互联 网 时 的 安全 ,防止 个 人 计算 机 上 信用 
卡 、 银 行 账号 等 私有 信息 的 泄露 和 窃取 ,防止 计算 机 病毒 及 各 种 恶意 程序 对 个 人 计算 机 的 入 
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侵 和 破坏 ,个 人 防火 墙 产品 应 运 而 生 。 

2. 个 人 防火 墙 的 概念 

个 人 防火 墙 是 一 套 安装 在 个 人 计算 机 上 的 软件 系统 , 它 能 够 监视 计算 机 的 通信 状况 ,一 
且 发 现 有 对 计算 机 产生 危险 的 通信 就 会 报警 通知 管理 员 或 立即 中 断 网 络 连接 ,以 此 实现 对 
个 人 计算 机 上 重要 数据 的 安全 保护 。 

个 人 防火 墙 是 在 企业 防火 墙 的 基础 上 发 展 起 来 的 ,个 人 防火 墙 采用 的 技术 也 与 企业 防 
火 墙 基本 相同 ,但 在 规则 的 设置 .防火 墙 的 管理 等 方面 进行 了 简化 ,使 非 专业 的 普通 用 户 能 
够 容易 地 安装 和 使 用 。 

Windows 操作 系统 是 目前 应 用 最 为 广泛 的 个 人 计算 机 操作 系统 。 为 了 实现 对 
Windows 操作 系统 的 安全 保护 , Windows 本 身 提 供 了 防火 墙 功能 。 目 前 市 面 上 推出 了 大 量 
基于 Windows 操作 系统 的 个 人 防火 墙 产品 。 其 中 ,国外 知名 品牌 主要 有 Norton、PC Cilin 
等 ,国内 品牌 主要 有 天 网 个 人 版 防火 墙 . 瑞 星 个 人 防火 墙 和 金山 毒霸 网 络 个 人 防火 墙 等 。 同 
时 ,目前 正在 兴起 的 Linux 操作 系统 本 身 就 内 置 了 强大 的 个 人 防火 墙 功能 。 


8.4.2 个 人 防火 墙 的 主要 功能 


对 于 连接 到 因特网 上 的 个 人 计算 机 ,存在 的 最 大 安全 隐患 是 个 人 的 私有 信息 被 窃取 或 
被 破坏 ,以 及 个 人 计算 机 被 攻击 者 用 作 盗 取 他 人 关键 信息 的 跳板 。 同 时 ,还 存在 恶意 软件 造 
成 的 网 络 或 系统 资源 的 浪费 。 为 了 防止 安全 威胁 对 个 人 计算 机 产生 的 破坏 ,个 人 防火 墙 产 
品 应 提供 以 下 的 主要 功能 。 

1. 防止 Internet 上 用 户 的 攻击 

个 人 防火 墙 可 以 保护 连接 到 Internet 上 的 主机 不 被 攻击 ,尤其 是 长 期 接 入 到 Internet 
上 的 个 人 计算 机 。 目 前 ,长 期 接 人 到 Internet 上 的 个 人 计算 机 越 来 越 多 ,这 些 计 算 机 不 仅仅 
是 作为 浏览 Web 网 页 及 下 载 文件 使 用 ,同时 还 可 以 作为 Web、FTP 等 服务 器 为 Internet 上 
的 用 户 提供 服务 。 随 着 动态 DNS 技术 的 广泛 应 用 ,一 般 一 台 能 够 与 Internet 连接 的 个 人 计 
算 机 就 可 以 成 为 一 台 Web FTP 和 电子 邮件 等 服务 器 。 个 人 防火 墙 可 以 在 很 大 程度 上 保护 
这 些 个 人 服务 器 系统 。 

2. 阻 断 木马 及 其 他 恶意 软件 的 攻击 

计算 机 木马 可 以 通过 网 页 浏览 ,电子 邮件 和 软件 下 载 等 诸多 方式 进入 个 人 计算 机 ,在 计 
算 机 上 开设 一 个 后 门 。 然 后 攻击 者 通过 这 个 后 门 进入 计算 机 ,破坏 窃取 用 户 的 个 人 信息 。 
个 人 防火 墙 可 以 阻 断 来 自 外 部 主机 的 木马 入 侵 。 

现在 较 新 的 个 人 防火 墙 还 针对 个 人 计算 机 用 户 存 在 的 安全 风险 ,提供 了 反 钓 鱼 、 反 流 谍 
软件 . 防 ARP 欺骗 和 DHCP 欺骗 等 功能 ,最 大 限度 地 保护 了 个 人 计算 机 的 安全 。 

3. 为 移动 计算 机 提供 安全 保护 

随 着 家 庭 办 公 等 移动 办 公 方 式 的 兴起 ,单位 员工 可 以 在 自己 家 里 或 外 出 时 利用 VPN 
方式 连接 到 单位 内 部 的 网 络 ,实现 与 单位 内 部 计算 机 用 户 相同 的 资源 访问 功能 。 如 果 移 动 
计算 机 没有 个 人 防火 墙 的 保护 , 当 其 以 VPN 方式 接 入 到 单位 内 部 网 络 时 ,单位 内 部 的 网 络 
将 暴露 在 Internet 上 ,攻击 者 将 把 这 台 VPN 终端 作为 进入 单位 内 部 网 络 的 桥梁 。 

4. 与 其 他 安全 产品 进行 集成 

个 人 防火 墙 除 能 够 满足 个 人 用 户 的 一 些 需求 外 ,还 可 以 与 其 他 的 网 络 安全 产品 进行 集 


成 ,在 安全 防范 上 产生 联动 效应 ,最 大 范围 地 提供 安全 性 。 目 前 主流 的 方法 是 将 个 人 防火 墙 
与 防 病毒 软件 进行 集成 ,将 两 者 的 功能 结合 起 来 。 例 如 ,Norton、 瑞 星 和 人 金山 等 防 病毒 软件 
一 般 都 集成 了 个 人 防火 墙 功能 。 

随 着 技术 的 发 展 ,个 人 防火 墙 的 功能 也 在 不 断 发 展 和 完善 ,例如 自动 检测 个 人 计算 机 操 
作 系 统 存 在 的 安全 漏洞 为 操作 系统 提供 补丁 安装 服务 、 提 供 为 个 人 计算 机 上 资源 的 授权 访 
问 及 提供 入 侵 检测 功能 等 。 


8.4.3 个 人 防火 墙 的 主要 技术 


由 于 个 人 防火 墙 是 在 企业 级 防火 墙 的 基础 上 发 展 起 来 的 ,所 以 个 人 防火 墙 所 采用 的 技 
术 主 要 与 企业 级 防火 墙 基本 相同 ,但 也 存在 一 些 应 用 特点 。 下 面 介绍 个 人 防火 墙 所 使 用 的 
主要 技术 。 

1. 基于 应 用 层 网 关 

典型 的 个 人 防火 墙 属于 应 用 层 网 关 类 型 ,应 用 层 网 关 也 称 为 代理 。 应 用 层 网 关 随 时 检 
测 用 户 应 用 程序 的 执行 情况 ,可 以 根据 需要 对 特定 的 应 用 拒绝 或 允许 。 例 如 , 当 用 户 需要 执 
行 一 个 FTP 应 用 程序 时 ,可 以 允许 文件 的 上 传 和 下 载 ,其 他 的 应 用 可 以 被 关闭 。 基 于 应 用 
层 的 网 关 防 火 墙 在 企业 防火 墙 的 配置 中 比较 复杂 ,但 在 个 人 防火 墙 的 策略 配置 中 却 比 较 简 
单 , 用 户 需要 什么 服务 就 允许 什么 服务 通过 防火 墙 , 该 服务 使 用 结束 后 可 以 及 时 关闭 。 

2. 基于 IP 地 址 和 TCP/UDP 端口 的 安全 规则 

如 果 要 在 个 人 防火 墙 上 实现 基于 IP 地 址 和 TCP/UDP 端口 的 控制 将 非常 容易 。 例 如 ， 
如 果 不 允 许 某 一 台 个 人 计算 机 使 用 FTP 服务 ,就 可 以 在 个 人 防火 墙 上 直接 关闭 TCP 20 端 
口 ,这 样 即 使 有 人 想 通过 这 台 计 算 机 利用 FTP 下 载 文件 ,其 FTP 的 连接 请 求 在 个 人 防火 墙 
上 将 被 直接 拒绝 ,根本 无 法 建立 与 FTP 服务 器 之 间 的 控制 连接 。 如 果 不 允 许 访问 某 一 站 
点 , 则 可 以 直接 在 个 人 防火 墙 上 拒绝 将 数据 包 发 往 该 网 站 对 应 的 IP 地 址 。 基 于 IP 地 址 和 
TCP/UDP 端口 的 安全 规则 其 实 就 是 一 种 静态 包 过 滤 技 术 。 同 样 ,静态 包 过 滤 防 火 墙 存在 
的 不 安全 因素 在 个 人 防火 墙 上 也 同样 存在 。 

3. 端口 “隐藏 "功能 

下 面 看 一 个 针对 网 络 端口 的 扫描 实例 : 假设 通过 端口 扫描 软件 来 对 一 台 远 程 计 算 机 进 
行 端口 扫描 操作 ,如 果 远 程 计算 机 上 的 某 一 端口 是 开放 的 ,扫描 软件 自然 会 收 到 该 端口 已 打 
开 的 响应 报 文 ; 如 果 该 端口 是 关闭 的 ,远程 主机 会 返回 一 个 拒绝 连接 的 响应 报 文 。 从 这 一 
实例 可 以 看 出 ,不 管 端口 是 否 关闭 ,扫描 软件 都 会 知道 远程 主机 的 存在 。 既 然 知 道 了 远程 3 
机 的 存在 ,就 可 以 采取 其 他 方式 对 其 进行 攻击 。 

而 端口 “隐蔽 ”会 将 主机 上 的 端口 完全 隐藏 起 来 ,而 不 返回 任何 响应 或 拒绝 响应 的 报 文 。 
由 于 不 发 送 响应 报 文 , 所 以 它 是 一 个 非 标准 的 连接 行为 。 在 个 人 防火 墙 上 启用 了 端口 “ 隐 
项 ”功能 , 则 会 隐蔽 掉 该 计算 机 的 存在 。 

4. 邮件 过 滤 功 能 

一 个 标准 的 电子 邮件 通常 具有 几 个 重要 特征 : 收发 人 邮箱 名 、 收 发 人 邮箱 服务 器 的 IP 
地 址 或 域名 .主题 及 信件 内 容 ( 包 括 正文 .关键 字 和 附件 ) 等 相关 字段 ,这 些 特 征 是 邮件 过 滤 
技术 判断 ` 分 析 、 统 计 和 提取 的 依据 。 个 人 防火 墙 的 邮件 过 滤 功 能 可 以 对 接收 到 的 电子 邮件 
的 主要 特征 进行 提取 和 分 析 ,确定 是 否 需要 接收 邮件 或 给 用 户 相应 的 提示 信息 。 
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通过 以 上 介绍 ,读者 会 发 现 个 人 防火 墙 虽然 继承 了 企业 级 防火 墙 的 技术 和 功能 ,但 是 个 
人 防火 墙 的 主要 功能 集中 在 防 攻击 、 防 木马 及 恶意 软件 的 入 侵 、 防 病毒 等 方面 ,而 不 是 对 某 
一 个 网 络 的 安全 保护 。 


8.4.4 个 人 防火 墙 的 现状 及 发 展 


个 人 防火 墙 为 接 入 到 Internet 的 个 人 计算 机 提供 了 所 需要 的 安全 保护 ,主要 包括 如 下 方面 。 

(1) 可 有 效 地 防范 各 种 网 络 攻 击 。 

(2) 高 效 的 入 侵 检测 .报警 和 日 志 收 集 与 分 析 。 

(3) 防火 墙 本 身 应 该 具有 良好 的 容错 性 。 

(4) 及 时 阻止 攻击 的 继续 ,同时 还 应 能 对 攻击 源 进 行 定 位 ,并 具有 自我 学 习 、 扩 充 和 更 
新 规则 的 功能 。 

(5) 操作 界面 友好 ,操作 过 程 简单 .易学 . 易 用 ,并 具有 在 线 安全 策略 的 维护 功能 。 

个 人 防火 墙 从 产生 到 现在 ,已 经 经 历 了 多 次 技术 上 的 更 新 ,从 简单 单一 的 数据 包 拦截 ， 
到 对 应 用 层 协议 的 分 析 ,再 到 与 防 病毒 . 防 入 侵 等 安全 功能 的 有 机 结合 。 在 个 人 保密 要 求 提 
高 、 网 络 开放 性 逐渐 增 大 、 攻 击 手段 日 益 多 样 化 的 情况 下 ,个 人 防火 墙 技术 也 紧 随 用 户 的 安 
全 需求 发 生 着 变化 。 与 企业 级 防火 墙 相 比 , 个 人 防火 墙 更 多 考虑 的 是 实用 性 和 灵活 性 ,在 实 
现 方式 上 没有 企业 级 防火 墙 那样 复杂 ,在 功能 上 没有 企业 级 防火 墙 那样 完备 。 由 于 个 人 防 
火 墙 是 面向 个 人 用 户 的 ,从 结构 上 来 讲 只 是 一 个 端 系统 ,并 没有 复杂 的 网 络 拓扑 ,从 实现 形 
式 来 讲 也 几乎 都 是 一 种 纯 软 件 的 方式 。 

有 关 个 人 防火 墙 未 来 的 发 展 , 除 技术 的 不 断 创新 和 功能 的 不 断 完善 外 ,在 实现 形式 上 还 
需要 从 以 下 几 个 方面 取得 发 展 。 

(1) 与 网 络 设备 集成 。 可 将 个 人 防火 墙 功能 集成 到 Modem、xDSL、Cable Modem 和 无 
线 AP 等 设备 中 ,使 个 人 防火 墙 成 为 这 些 网 络 设备 的 组 成 模块 。 

(2) 与 防 病毒 软件 集成 ,并 实现 与 防 病毒 软件 之 间 的 安全 联动 。 例 如 ,同一 网 络 安全 厂 
商 开 发 的 防 病毒 软件 和 个 人 防火 墙 软 件 可 以 合并 成 同一 个 产品 ,而 不 是 将 个 人 防火 墙 作 为 
防 病毒 软件 的 一 个 可 选 组 件 来 存在 。 

(3) 使 个 人 防火 墙 成 为 企业 级 防火 墙 的 一 个 子 系统 ,通过 企业 级 防火 墙 对 个 人 防火 墙 进 
行 分 布 式 管理 。 这 一 思想 其 实 就 是 将 个 人 防火 墙 作为 分 布 式 防火 墙 中 的 主机 防火 墙 来 存在 。 


8.5 实验 操作 1 瑞星 个 人 防火 墙 应 用 实例 


个 人 防火 墙 主 要 是 为 解决 网 络 上 各 类 攻击 问题 而 研制 的 个 人 信息 安全 产品 ,具有 较为 
完备 的 规则 设置 功能 ,能 有 效 地 监控 网 络 连接 ,保护 网 络 不 受 攻击 。 本 实验 以 2008 版 瑞星 
个 人 防火 墙 为 例 ,通过 对 个 人 防火 墙 主要 功能 及 配置 方法 的 介绍 ,使 读者 对 个 人 防火 墙 技术 
及 使 用 有 所 了 解 。 


8.5.1 瑞星 个 人 防火 墙 的 主要 功能 


下 面 是 2008 版 瑞星 个 人 防火 墙 的 主要 特性 。 
(1) 防火 墙 多 账户 管理 。 防 火 墙 提供 “管理 员 ” 和 “普通 用 户 ” 两 种 账户 。 防 火 墙 提供 的 


切换 账户 功能 可 以 在 两 种 账户 之 间 进 行 切换 。 管 理 员 可 以 执行 防火 墙 的 所 有 功能 ,普通 用 
户 不 能 修改 任何 设置 .规则 ,不 能 启动 /停止 防火 墙 ,不 能 退出 防火 墙 。 且 普通 用 户 切换 到 管 
理 员 用 户 需 要 输入 管理 员 用 户 的 密码 。 

(2) 未 知 木 马 扫 描 技 术 。 通 过 启发 式 查 毒 技 术 , 当 有 程序 进行 网 络 活动 的 时 候 , 对 该 进 
程 调用 未 知 木马 扫描 程序 进行 扫描 ,如 果 该 进程 为 可 疑 的 木马 病毒 , 则 提示 用 户 。 此 技术 提 
高 了 对 可 疑 程序 自动 识别 的 能 力 。 

(3) IE 功能 调用 拦截 。 由 于 IE 提供 了 公开 的 Com 组 件 调 用 接口 ,有 可 能 被 恶意 程序 
所 调用 。 此 功能 是 对 需要 调用 IE 接口 的 程序 进行 检查 。 如 果 检 查 为 恶意 程序 ,报警 给 
用 户 。 

(4) 反 钓 鱼 和 防 木马 病毒 网 站 。 提 供 了 较为 强大 的 、. 可 以 升级 的 黑 名 单 规则 库 。 库 中 
管理 了 非法 的 ,高 风险 ,高 危害 的 网 站 地 址 列表 ,符合 该 库 的 访问 会 被 禁止 。 

(5) 模块 检查 。 防 火 墙 能 够 控制 是 否 允许 某 个 模块 访问 网 络 。 当 应 用 程序 访问 网 络 的 
时 候 , 对 参与 访问 的 模块 进行 检查 ,根据 模块 的 访问 规则 决定 是 否 允 许 该 访问 。 以 往 的 个 人 
防火 墙 只 是 对 应 用 程序 进行 检查 ,而 没有 对 所 关联 的 dll 做 检查 。 进 行 模块 检查 ,可 防止 木 
马 模 块 注入 到 正常 进程 中 访问 网 络 。 


8.5.2 瑞星 个 人 防火 墙 的 功能 配置 
瑞星 个 人 防火 墙 的 设置 内 容 比较 多 ,下 面 仅 介绍 与 安全 相关 的 主要 功能 及 设置 特点 。 
1. 工作 状态 
在 如 图 8-10 所 示 的 “工作 状态 ”选项 卡 中 显示 了 个 人 防火 墙 的 设置 和 当前 系统 状态 等 
信息 ,具体 如 下 。 


i 
局 动 法 项 【访问 规则 汤 捷 藻 
模块 检 查 : “已 关闭 。。 网 站 过 洛 : 已 打开 
;瑞星 个 人 防火 二 已经 过 期 ， 请 更 新 你 的 产品 - 
系统 局 洞 ; 您 的 系统 目前 存在 8 个 不 安全 设置 
最 近 哲 作 : ”暂时 没有 程序 被 阻止 访问 网 络 ， 
活动 各 床 : 门 站 部 中信 司 口 吕 协 口 口 口 站 口 吕 国 咏 < 馆 


受 攻 击 信息 
系统 启动 以 来 ， 还 没有 发 现 对 系统 的 攻击 。 入 陈 位 置 


eR 接收 字 节 数 : 
接收 f nn 1357396K 


| 
Ey 


发 送 字 节 数 ; 
4181232K 


3DInc 瑞星 


图 8-10 “工作 状态 ”选项 卡 


防火 妨 技 术 及 应 用 


击 0o 恰 


计算 机 网 络 安 全 技术 


(1) 防火 墙 状态 。 主 要 内 容 如 下 。 
。 当前 账户 。 显 示 了 瑞星 防火 墙 使 用 的 账户 类 型 , 单 击 后 可 以 切换 账户 。 
。 模块 检查 。 显 示 模 块 保护 的 状态 , 单 击 后 显示 模块 保护 设置 界面 。 
。 上 网 保护 。 显 示 了 上 网 保护 的 状态 , 单 击 后 显示 网 站 访问 规则 设置 界面 。 
。 工作 模式 。 防 火 墙 在 当前 所 使 用 的 工作 模式 。 
。 系统 漏洞 。 显 示 当 前 系统 存在 的 漏洞 数 和 不 安全 设置 数 ,系统 漏洞 扫描 时 间 如 果 超 
出 默认 设 定 的 标准 时 间 ( 例 如 5 天 ) ,显示 的 文字 会 加 红 显示 。 

。 最 近 操作 。 显 示 了 最 近 一 次 被 禁止 访问 网 络 的 程序 , 单 击 该 链接 可 转 到 访问 规则 标 
签 页 。 

。 活动 程序 。 显 示 了 当前 活动 程序 的 图 标 ,如 果 程 序 繁忙 ,对 应 的 图 标 就 会 闪烁 ,用 户 
可 以 轻松 查看 繁忙 (单位 时 间 内 流量 最 大 ) 的 应 用 程序 。 单 击 该 链接 可 转 到 “系统 状 
态 ” 选 项 卡 下 的 网 络 活动 页 面 。 

(2) 受 攻击 信息 。 可 以 显示 攻击 的 名 称 ,攻击 者 的 IP 地 址 ,攻击 的 时 间 , 攻 击 次 数 和 攻 
击 的 端口 等 信息 。 

。 追踪 位 置 。 可 以 打开 http://www. ikaka. com 网 站 查询 ,根据 攻击 者 的 IP 地 址 查 

询 所 在 地 。 

。 更 多 信息 。 可 以 查看 防火 墙 日 志 。 

(3) 网 络 状态 。 主 要 显示 了 如 下 内 容 。 

。 流量 曲线 。 显 示 接 收 /发 送 数 据 包 流 量 的 曲线 图 。 其 中 ,在 曲线 的 左 侧 可 以 设 定 可 
显示 的 接收 ,发 送 数据 包 曲 线 的 最 高 峰值 ; 在 流量 曲线 的 右 侧 显 示 了 接收 ,发 送 总 的 数据 
流量 。 

(4) 安全 级 别 。 可 拖 动 “工作 状态 ”选项 卡 右 下 角 的 安全 级 别 滑 块 到 对 应 位 置 进行 安全 
级 别 的 设置 。 关 于 安全 级 别 的 定义 及 规则 如 下 。 

。 普通 。 系 统 在 信任 的 网 络 中 ,除非 规则 禁止 的 ,否则 全 部 放 过 。 

。 中 级 。 系 统 在 局 域 网 中 ,默认 允许 共享 ,但 是 禁止 一 些 较 危险 的 端口 。 

。 高 级 。 系 统 直 接连 接 Internet ,除非 规则 放行 ,否则 全 部 拦截 。 

2. 规则 设置 

在 防火 墙 主 窗口 中 选择 “设置 ”一 "详细 设置 * 盖 规则 设置 命令 ,打开 如 图 8-11 所 示 的 
“详细 设置 ?对 话 框 。 在 这 里 可 以 配置 防火 墙 的 过 滤 规 则 ,主要 包括 如 下 内 容 。 

(1) 黑 名单 。 可 以 将 禁止 与 本 机 通信 的 计算 机 添加 到 该 列表 中 。 例 如 ,可 以 将 已 发 现 
的 攻击 本 机 的 计算 机 添加 到 该 区 域 中 。 

(2) 白 名 单 。 可 以 将 完全 信任 的 计算 机 添加 到 该 列表 中 ,列表 中 的 计算 机 对 本 机 有 完 
全 访问 权限 。 例 如 ,可 以 将 VPN 服务 器 加 入 到 该 区 域 中 。 

(3) 端口 开关 。 可 以 打开 或 关闭 本 机 上 的 TCP 或 UDP 端口 ,允许 或 禁止 端口 中 的 通 
信 。 在 如 图 8-12 所 示 的 “增加 端口 开关 ”对 话 框 中 可 以 对 端口 进行 设置 。 

(4) 可 信 区 。 如 图 8-13 所 示 , 通 过 可 信 区 域 的 设置 ,可 以 对 局 域 网 和 互联 网 (如 
Internet) 区 别 对 待 。 用 户 可 以 进行 “可 信 区 列表 ”和 “选择 可 信 区 服务 ”的 设置 ,可 以 将 本 机 
可 信赖 的 主机 的 IP 地 址 添加 到 “可 信 区 列表 ”中 ; 在 “选择 可 信 区 服务 ?下方 提供 了 对 常用 
服务 器 的 访问 规则 ,包括 “允许 Ping 入 /出 *“LAN 下 放行 对 方 敏感 端口 "和 “LAN 下 放行 


配置 防火 墙 的 过 源 规 则 : 
黑 名 单 : ”在 此 区 域 中 的 计算 机 禁止 与 本 机 通讯 。 
: 。 完全 信任 的 计算 机 可 加 入 此 区 域 。 
可 以 手工 控制 端口 是 否 可 以 通讯 。 
: 。 指定 局 域 网 计算 机 的 ]p ,默认 对 方 计算 机 不 在 此 区 域 。 
在 信 层 过 活 的 规则 。 
本 机 中 访问 同 络 的 模块 的 过 泥 规 则 。 


白 加 ARp 扣 允 防 他 
国 ARp 芝 者 规 则 


了 | 
多 个 请 口 以 英文 逗号 分 隔 ， 如: 2,4-8,10 
协议 类 型 : 回 TCP 回 upp 
计算 机 : 回 本 机 口 远程 
执行 动作 : 回 茜 止 口 允 许 


确定 (0) 取消 四 


图 8-12 设置 端口 页 面 


敏感 端口 "三 项 ,用 户 可 根据 实际 需要 进行 设置 。 

(5) IP 规则 。 用 于 设置 网 络 层 IP 地 址 的 过 滤 规 则 。 列 表 中 显示 了 当前 使 用 的 IP 规 
则 ,包括 规则 名 称 、. 状 态 协议、 对方 端口 ,本 地 端口 和 是 否 报警 等 。 其 中 ,规则 按 过 滤 顺 序 排 
序 , 打 勾 的 项 表示 生效 ,如 图 8-14 所 示 。 

(6) 模块 规则 。 用 户 通 过 “模块 规则 ”, 能 够 控制 是 否 允 许 某 个 模块 访问 网 络 。 当 应 用 
程序 访问 网 络 的 时 候 , 防 火 墙 对 参与 访问 的 模块 进行 检查 ,根据 模块 的 访问 规则 决定 是 否 允 
许 该 访问 。 如 图 8-15 所 示 ,在 页 面 中 显示 了 当前 设置 的 模块 名 称 等 信息 ,如 果 要 让 所 有 的 
模块 规则 全 部 生效 ,可 以 选取 “启动 模块 访问 检查 ” 复 选 框 。 如 果 用 户 需 要 增加 规则 ,可 以 单 
击 “ 增 加 ”按钮 进行 设置 。 

3. 网 站 访问 规则 

用 户 通 过 设置 网 站 访问 规则 ,可 以 屏蔽 不 适合 浏览 的 网 站 ,给 用 户 创建 一 个 健康 的 上 网 
环境 。 网 站 访问 规则 的 设置 页 面 如 图 8-16 所 示 。 


防火 妨 技 术 及 应 用 
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可 信 区 列表 


名 称 本 地 地 址 对 方 地 址 
可 信 区 172.16.2.102 172.16,2.102 从 : 172.15,20 到 : 172.16.2,255 
可 信 区 192.168,126,1 。 192.168.126.1 从 : 192.158.126.0 到 : 192.168.… 
可 信 区 192.168.154.1 。 192.168.154.1 从 : 192.168.154.0 到 : 192.1658.… 


选择 可 信 区 服务 

固 允许 Png 入 | 出 

回 LAN 下 放行 对 方 敏感 端口 
回 LAN 下 放行 敏感 端口 


图 8-13 “可 信 区 ”设置 页 面 


规则 名 称 
站 允许 域名 解析 
中 允许 动态 PP 
口 允许 SNMP 


莹 


加 允许 YPN(AH) 协 议 
] 区 许 IE VPN 
口 允许 PPTP VPN 
口 允许 LzTP VPN 
L- 国 口 允许 FTP 数 据 
后 -加 | 网 站 访问 规则 “ 唱 允许 BT 下 或 
| 上 目 黑 名 单 中 允许 Ping 出 
L- 国 白 名 单 四 禁止 Pno 入 
讽 ARP 职 骗 防 创 口 区 许 目的 不 可 达 
ARP 静 态 规 则 。 口 ] 放行 所 有 ICMP 
亲 


规则 越 多 性 能 越 低 ; 不 需要 增加 与 应 用 相关 的 规则 ， 系 统 在 应 用 需要 时 打开 端口 
R 也 不 需要 增加 防范 性 规则 ， 系 统 已 经 内 置 并 且 自 动 升级 


soo, 

1024-65535, 

1024-65535, 

20, 

任意 端口 

2 个 类 型 的 组 合 类 型 代码 为,,。 
1 个 类 型 的 组 合 类 型 代码 为 … 
类 型 代码 为 ; 3 代码 任意 
任意 类 型 代码 任意 


exKeeeeeeeeeee 


入 二 划 绪 | 


退出 


图 8-14 “IP 规则 ?设置 页 面 


1) 基本 设置 

。 启用 网 址 过 滤 ,防止 受到 钓鱼 和 病毒 等 恶意 网 站 的 侵害 。 如 果 选 取 此 复 选 框 ,防火 
墙 将 启动 上 网 保护 功能 ,通过 调用 黑 名 单 库 , 过 滤 钓 鱼网 址 和 病毒 木马 网 址 ,防止 钓 
鱼 和 病毒 等 恶意 网 站 的 侵害 。 当 上 网 保护 功能 关闭 后 ,所 有 的 URL 过 滤 功 能 自动 
关闭 。 

。 启用 家 长 保护 。 如 果 选 取 此 复 选 框 ,防火 墙 将 启用 家 长 保护 功能 。 只 有 在 启用 家 长 
保护 后 ,所 有 网 站 访问 规则 才能 够 生效 。 


醒 块 名 称 
回 辣 wndows NTBAs.… 
回回 ruye ou 
四 - 久 shal Light-weigh... 


[二 
Cindowssystem32kernel32.d 
CWindowsgystem32mtdl.dl 
C:\Windows\system32\shiwapi.dl 
C:\Windows\system32\wininet.dl 
Gindowseystem32Ws2_32. 可 
C:\Windows'\system32nswsock.dl 
C:\Windows\system32\advapi32.d] 
ci\Wwindows\gystem32Ypat4.d) 
C:\Windows\gystem32Nsasrv.dl 
cwindows\system32\pakey.dl 
CWindowseystem32W32tme.dl 
C:\Windows\system32\dnsrsivr.dl 
C:\Windows\system32\insapi.dl 
C:\Windows\system32\ssdpsrv.dl 
CWndows\system32\ple32.d) 
C:\Windows\gystem32\ssdpapi. dl 


WM ® IntemetExtens... 
回回 wndows sodet … 
回回 Mcrosoft Wndo,.， 
a 加 思 Advanced Wndo,.， 
闻 1p 规 则 rea 
| 加 固 LsAseverDu 
回回 oadeykeyMan.… 
回回 Wndows Tmes... 
回 四 DNs cahingRes... 
回 站 ovs CientaPIDUL 
回 门 ssop sevie pu 
回 口 MaosofouEfo… 
回回 ssop aentApI… 


口 启动 模块 访问 检查 
增加 删除 编辑 清理 


《44444444444487T 


图 8-15 “模块 规则 ?设置 页 面 


护 
回 ,启用 网 超过 涛 ， 防 止 受到 的 鱼 和 病毒 等 恶意 网 站 的 侵害 
口语 用 家 长 保护 
家 长 保护 是 为 了 帮助 家 长 控制 该 子 上 网 而 设计 的 ， 你 可 以 通过 设置 
网 站 黑 名 单 厅 游 旬 孩子 访问 不 健 庆 的 网 法。 
设置 
[| 口 监控 指定 的 六 吕 
模块 规则 庙号 : | 


【多 个 端口 以 英文 逗号 分 隔 ， 如 80,8088,8082) 
口 监控 代理 上 网 


昌 昌 
一 国 np 静态 规 则 代理 服务 器 P 地 址 


图 8-16 “网 站 访问 规则 ”设置 页 面 


。 监控 指定 的 端口 。 用 于 设置 防火 墙 的 监控 端口 ,对 用 户 所 指定 的 对 方 网 站 端口 进行 
实时 监控 。 在 用 户 不 指定 端口 的 情况 下 ,防火 墙 默认 监控 80 号 端口 。 

。 监控 代理 上 网 。 如 果 用 户 通 过 代理 服务 器 上 网 .可 选取 此 复 选 框 , 并 设置 所 使 用 的 
代理 服务 器 的 信息 。 防 火 墙 将 会 监控 代理 上 网 行为 。 

2) 黑 名 单 

黑 名 单 中 的 网 站 将 被 禁止 访问 ,用 户 可 将 要 屏蔽 的 网 站 添加 到 URL 黑 名 单列 表 中 。 


防火 妨 技 术 及 应 用 
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3) 白 名 单 

白 名 单 中 的 网 站 不 会 被 禁止 访问 ,用 户 可 将 信任 的 网 站 添加 到 白 名 单列 表 中 。 

4. ARP 欺骗 防御 

ARP 欺骗 是 通过 发 送 虚假 的 ARP 数据 包 给 局 域 网 内 的 其 他 计算 机 或 网 关 , 通 过 冒充 
其 他 主机 的 身份 来 欺骗 局 域 网 中 的 其 他 计算 机 ,使 得 其 他 计算 机 无 法 正常 通信 ,或 者 监听 被 
欺骗 者 的 通信 内 容 。 用 户 在 选取 了 “启用 ARP 欺骗 防御 ” 复 选 框 后 ,防火 墙 将 利用 已 设置 
的 ARP 规则 来 保护 计算 机 的 正常 通信 ,如 图 8-17 所 示 。 


回 启用 ARP 欺 骗 防 钾 
回 定时 检查 本 机 ARP 缓 存 
回 启用 ARP 玫 坊 地 址 绑 定 规则 
口 拒绝 tp 地址 冲突 攻击 
发 现 可 疑 或 散 骗 ARP 包 时 如何 提示 用 户 
回 气 泡 通知 回声 音 报警 
加 托盘 动画 回 记 录 日 志 
防护 范围 
网 站 访问 规则 口 防护 局 域 网 中 的 所 有 计算 机 
目 回 防护 指定 的 计算 机 地 址 和 乱 音 规则 地 址 


习 白 名 单 
ARP 静 态 规 则 


图 8-17 “ARP 欺骗 防御 ”设置 页 面 


(1) 定时 检查 本 机 ARP 缓存 。 定 时 检查 防火 墙 内 的 ARP 缓存 表 和 系统 的 ARP 缓存 
表 , 并 将 两 者 进行 比较 。 默 认 每 60s 检查 一 次 ,用 户 也 可 以 重新 设置 时 间 间 隔 。 

(2) 启用 ARP 静态 地 址 绑 定 规则 。 选 取 此 复 选 框 后 ,用 户 设置 的 ARP 静态 地 址 绑 定 
规则 才 生 效 。 

(3) 拒绝 IP 地 址 冲突 攻击 。 选 取 此 复 选 框 后 , 当 防 火 墙 检测 到 局 域 网 中 计算 机 的 IP 
地 址 发 生 冲突 时 ,会 自动 阻止 所 受 的 攻击 并 将 所 受 攻 击 事件 记录 到 日 志 中 。 

(4) 发 现 可 疑 或 欺骗 ARP 包 时 如 何 提示 
用 户 。 用 户 可 以 选择 “气泡 通知 ”“ 托 盘 动 画 ” 
和 “声音 报警 ”三 种 方式 来 通知 ARP 欺骗 的 发 
生 。 如 果 选 取 “ 记 录 日 志 ”, 防 火 墙 会 记录 下 
ARP 欺骗 事件 。 

另外 ,防火 墙 会 自动 搜集 局 域 网 中 各 计算 请 注意 : 系统 将 在 “46 秒 " 后 自动 拒 网 本 次 网 络 访问 
机 的 IP 地 址 与 MAC 地 址 的 对 应 表 , 当 发 现 地 二 下 
址 有 冲突 时 ,会 出 现 如 图 8-18 所 示 的 提示 信 图 8-18 发现 ARP 包 内 容 有 地 址 
息 。 单 击 “ 添 加 到 ARP 静态 表 中 ?链接 ,防火 墙 冲突 时 的 提示 信息 


发 现 ARP 包 内 容 有 地 址 冲突 ,请 选 择 一 个 你 信任 的 地 址 ; 


@ IP:192,168.90.60 MAC:00-11-56-29-9D-FO 


OO IP:192.168.90.60 MAC:00-0D-61-98-23-94 


会 将 用 户 选择 的 地 址 (其 中 正确 的 地 址 ) 添 加 到 ARP 静态 表 中 。 
以 上 简要 介绍 了 瑞星 防火 墙 的 安全 功能 及 安全 规则 的 设置 方法 ,其 他 功能 的 介绍 和 应 
用 可 参阅 相关 的 技术 文档 。 


8.6 实验 操作 2 Cisco PIX 防火 墙 基础 配置 实例 


虽然 Cisco PIX 防火 墙 的 部 分 配置 命令 与 Cisco 交换 机 和 路 由 器 不 同 , 但 还 有 相当 一 部 
分 命令 是 相同 的 ,所 以 对 于 熟悉 Cisco 交换 机 和 路 由 器 配置 的 读者 来 说 ,学 习 PIX 防火 墙 的 
配置 要 相应 容易 一 些 。 


8.6.1 PIX 防 火 墙 的 管理 访问 模式 


PIX 防火 墙 提供 了 4 种 管理 访问 模式 。 

(1) 非特 权 模 式 。PIX 防火 墙 开机 自 检 后 就 处 于 这 种 模式 。 系 统 显示 为 pixfirewall 二 (其 
中 pixfirewall 为 防火 墙 的 名 称 )。PIX 防火 墙 的 非特 权 模 式 相当 于 Cisco 交换 机 和 路 由 器 
的 用 户 模 式 。 

(2) 特权 模式 。 在 非特 权 模式 下 输入 enable 命令 ,将 进入 特权 模式 。 在 特权 模式 下 可 
以 改变 当前 配置 。 特 权 模 式 的 显示 为 pixfirewall# 。 

(3) 配置 模式 。 在 特权 模式 下 输入 configure terminal 命令 将 进入 配置 模式 , 绝 大 部 分 
系统 配置 都 在 配置 模式 下 进行 。 配 置 模式 的 显示 为 pixfirewall(config) # 。 

(4) 监视 模式 。PIX 防火 墙 在 开机 或 重启 过 程 中 , 按 住 管理 机 上 的 Escape 键 或 发 送 
Break 字符 ,将 进入 监视 模式 。 在 监视 模式 下 可 以 更 新 系统 映像 文件 ,并 可 以 进行 口令 的 恢 
复 操作 。 监 视 模式 下 的 显示 为 monitor 二 。 


8.6.2 PIX 防火 墙 的 基本 配置 命令 


PIX 防火 墙 的 配置 命令 很 多 .最 常 使 用 的 有 6 个 基本 命令 : nameif ,interface ,ip address、 
nat .global 和 route。 下 面 分 别 对 这 6 个 命令 的 功能 和 使 用 方法 进行 介绍 。 

1. 配置 防火 墙 接口 的 名 称 (nameif) 

可 以 使 用 nameif 命令 来 配置 防火 墙 的 接口 名 称 , 同 时 在 使 用 nameif 命令 配置 防火 墙 
名 称 的 时 候 还 需要 为 接口 指定 安全 等 级 。 

Pix525(config) 间 nameif ethernet0 outside security 0 (将 外 网 接口 ethernet 0 的 安全 等 级 设置 为 0) 


Pix525(config) #nameif ethernet1l inside security 100 (将 内 网 接口 ethernet 1 的 安全 等 级 设置 为 100) 
Pix525(config) #nameif dmz security 50 (将 DMZ 接口 的 安全 等 级 设置 为 50) 


需要 注意 的 是 ,在 PIX 防火 墙 的 默认 配置 中 ,快速 以 太 网 接口 0Cethernet 0) 被 命名 为 
外 部 接口 (outside) ,安全 等 级 是 0; 快速 以 太 网 1(ethernet 1) 被 命名 为 内 部 接口 (inside) , 安 
全 等 级 为 100。 其 他 安全 等 级 的 取 值 范围 为 1 一 99 ,数字 越 大 安全 级 别 越 高 。 如 果 添 加 新 的 
接口 ,语句 可 以 这 样 写 , 


Pix525(config) # nameif pix/ interface3 security40 (安全 等 级 设置 为 40) 。 
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2. 配置 以 太 网 接口 参数 (interface) 
下 面 将 PIX 防火 墙 上 的 以 太 网 接口 0(ethernet 0) 配 置 为 自 适应 ,将 以 太 网 接口 1 
(ethernet 1) 配 置 为 全 双 工 。 


Pix525(config) 井 interface ethernet0 auto (auto 选项 表示 该 接口 为 自 适应 ) 
Pix525(config) # interface ethernet1 100full (100full 选项 表示 该 接口 为 100Mbit/s 全 双 工 ) 


如 果 要 关闭 该 接口 ,可 以 使 用 以 下 命令 : 

Pix525(config) 间 interface ethernetl 100full shutdown (shutdown 选项 表示 关闭 这 个 接口 , 若 启用 

接口 去 掉 shutdown ) 

3. 配置 内 外 网 接口 的 IP 地 址 (ip address) 

根据 系统 规划 ,由 于 PIX 防火 墙 还 担负 着 路 由 器 的 功能 ,所 以 必须 给 相应 的 连接 外 网 
和 内 网 的 接口 配置 IP 地 址 。 在 下 面 的 方案 中 ,把 与 外 网 连接 的 ethernet0 接口 的 IP 地 址 配 
置 为 218. 94. 97. 125, 子 网 掩 码 为 255. 255. 255. 224; 将 与 内 网 连接 的 ethernetl 接口 的 IP 
地 址 配置 为 172. 16. 1. 2, 子 网 掩 码 为 255. 255. 255. 0 。 


Pix525(config) # interface ethernet0 (进入 接口 ethernet0 的 配置 状态 ) 
Pix525(config-if)# ip address outside 218.94.97.125 255.255.255.224 
Pix525(config) # interface ethernet1 (进入 接口 ethernetl 的 配置 状态 ) 


Pix525(config-if)# ip address inside 172.16.1.2 255.255.255.0 


4. 进行 地 址 转换 (nat) 

网 络 地 址 转换 Cnat) 的 作用 是 将 内 网 的 私有 IP 地 址 转换 为 外 网 的 公有 IP 地 址 ,nat 命 
令 总 是 与 global 命令 一 起 使 用 ,这 是 因为 nat 命令 可 以 指定 一 个 IP 地 址 或 一 段 IP 地 址 访 
问 外 网 ,访问 外 网 时 需要 利用 global 所 指定 的 地 址 池 进 行 对 外 访问 。nat 命令 的 配置 格 
式 为 ， 


nat (interface_name) nat_id local ip [netmark] 


其 中 (interface_name) 表 示 内 网 接口 名 称 , 多 使 用 inside; nat_id 用 来 标识 全 局 地 址 池 ,使 它 
与 其 相应 的 global 命令 相 匹 配 ; local_ip 表示 内 网 被 分 配 的 IP 地址; 0.0.0.0 表示 内 网 所 
有 主机 可 以 对 外 访问 ; [netmarkj 表 示 内 网 IP 地 址 的 子 网 掩 码 。 

例 1 让 内 网 的 所 有 主机 都 可 以 访问 外 网 。 


Pix525(config)#nat (inside) 100 
也 可 以 写成 ， 

Pix525(config)#nat (inside) 1 0.0.0.0 0.0.0.0 
其 中 ,用 0 可 以 代表 0. 0.0.0。 

例 2 只 允许 172.16.10.0/24 这 个 网 段 内 的 主机 可 以 访问 外 网 。 

Pix525(config)#nat (inside) 1 172.16.10.0 255.255.255.0 

5. 指定 外 部 地 址 范围 (global) 

global 命令 把 内 网 的 IP 地 址 翻译 成 外 网 的 一 个 或 一 段 IP 地 址 。global 命令 的 配置 格 
式 为 : 


global (interface name) nat_id ip address-ip address [netmark global mask]| 


其 中 ,(interface_name) 表 示 外 网 接口 名 字 ,一般 为 outside; nat_id 用 来 标识 全 局 地 址 池 ,使 
它 与 其 相应 的 nat 命令 相 匹 配 ; ip_address-ip_address 表示 转换 后 的 单个 IP 地 址 或 一 段 IP 
也 址 ; [netmark global_mask] 表 示 全 局 IP 地 址 的 网 络 掩 码 。 下 面 举例 说 明 global 命令 的 
功能 和 使 用 方法 。 

例 3 当 内 网 的 主机 访问 外 网 时 ,将 使 用 58. 193. 128. 1 一 58. 193. 128. 254 这 段 IP 地 
止 池 为 要 访问 外 网 的 主机 分 配 一 个 全 局 IP 地 址 。 


Pix525(config) #9global (outside) 1 58.193.128.1 一 58.193.128.254 


例 4 当 内 网 要 访问 外 网 时 ,访问 外 网 的 所 有 主机 统一 使 用 58. 193. 128. 1 这 个 单 IP 
也 址 。 


Pix525(config)#9global (outside) 1 58.193.128.1 

当 要 取消 配置 时 , 像 Cisco 路 由 器 和 交换 机 的 配置 一 样 ,只 需要 在 命令 行 前 面 加 no 即 
可 ,如 例 5 所 示 。 

例 5 取消 对 global (outside) 1 58. 193. 128. 1 命令 的 配置 。 


Pix525(config)#no global (outside) 1 58.193.128.1 


6. 配置 静态 路 由 (route) 

静态 路 由 是 最 常 使 用 的 一 种 路 由 选择 方法 ,在 中 小 型 网 络 中 尤其 常见 。PIX 防火 墙 配 
置 静 态 路 由 的 语法 格式 为 ， 

route (interface name) 0 0 gateway_ ip [metric] 
其 中 (interface_name) 表 示 接 口 名 称 , 内 网 接口 常用 inside, 外 网 接口 常用 outside; gateway 
_ip 表示 网 关 IP 地 址 ; [metric] 表 示 到 gateway_ip 的 跳 数 ,通常 默认 是 1,0 表示 0. 0. 0. 0。 

例 6 设置 一 条 指向 218. 94. 97. 125 的 静态 路 由 。 

Pix525(config)# route outside 0 0 218.94.97.125 

该 命令 还 可 以 写成 : 

Pix525(config)#route outside 0.0.0.0 0.0.0.0 218.94.97.125 1 

以 上 命令 ,一般 是 指 所 有 内 部 主机 都 通过 218. 94. 97. 125 将 数据 包 转发 出 去 。 

如 果 内 部 网 络 使 用 多 个 IP 网 段 时 ,需要 为 每 一 个 网 段 指定 一 个 静态 路 由 ,例如 内 部 网 
络 使 用 了 192. 168. 1. 0/24 和 172. 16. 0. 0/16 两 个 网 段 ,这 时 需要 在 PIX 防火 墙 上 同时 配 
置 以 下 两 条 静态 路 由 ,网 关 IP 地 址 都 为 218. 94. 97. 125 。 

Pix525(config) 井 route inside 192.168.1.0 255.255.255.0 218.94.97.125 1 

Pix525(config)# route inside 172.16.0.0 255.255.0.0 218.94.97.125 1 

通过 对 以 上 6 个 基本 命令 的 学 习 , 希 望 读 者 掌握 PIX 防火 墙 的 基本 配置 方法 ,这 些 命 
令 的 使 用 也 会 为 后 面 命令 的 学 习 黄 定 基 础 。 
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8.6.3 PIX 防火墙 的 扩展 配置 命令 


这 里 所 讲 的 扩展 配置 命令 是 相对 于 前 面 的 基本 配置 命令 而 言 的 。 这 些 命令 主要 有 
static .conduit ,fixup 和 Telnet 等 。 

1. 配置 静态 IP 地 址 转换 (static) 

在 企业 网 络 中 ,经 常 要 提供 一 些 诸如 Web、FTP 和 Mail 等 服务 , 既 人 允许 内 网 用 户 , 也 允 
许 外 网 用 户 访问 。 其 中 ,内 网 用 户 访问 时 使 用 内 部 私有 的 IP 地 址 ,而 外 网 用 户 访问 时 则 需 
要 使 用 公 网 的 IP 地 址 ,而 static 命令 的 功能 是 进行 内 、 外 网 IP 地 址 之 间 的 一 对 一 转换 。 如 
果 从 外 网 发 起 一 个 连接 请 求 , 而 请 求 的 目的 地 址 是 一 个 内 网 的 IP 地 址 时 ,static 就 把 内 部 地 
址 转换 成 一 个 指定 的 全 局 地 址 ,允许 这 个 请 求 建立 。static 命令 的 配置 格式 为 : 


static (internal interface name,external interface name) outside ip_address inside ip_ 


address [netmask mask| 


其 中 ,internal_interface_name 表示 内 部 网 络 的 接口 名 称 ,一般 为 inside, 属 于 高 安全 等 级 的 
接口 ; external_interface_name 表示 外 部 网 络 接口 的 名 称 ,一 般 为 outside ,接口 安全 等 级 较 
低 ; outside_ip_address 为 外 网 接口 (external_interface_name) 的 IP 地 址 ; inside_ip_address 
为 内 部 网 络 接口 (internal_interface_name) 的 IP 地址; netmask 参数 后 面 跟 mask 指定 的 网 
络 掩 码 , 如 果 不 指定 netmask 时 ,将 使 用 IP 地 址 的 默认 掩 码 。 

由 于 在 通常 情况 下 ,internal_interface_name 内 部 网 络 的 接口 名 称 一 般 为 inside, 而 
external_interface_name 外 部 网 络 接口 的 名 称 为 outside, 所 以 static 命令 也 常 写成 如 下 
格式 : 


static (inside,outside) outside ip address inside ip_address 


例 7 内 部 主机 172. 16. 1. 2 对 于 通过 PIX 防火 墙 建立 的 每 个 请 求 连接 ,都 被 转换 成 公 
网 的 218. 94. 97. 125 这 个 全 局 地 址 。 


Pix525(config)# static (inside, outside) 218.94.97.125 172.16.1.2 


Static 命令 也 可 以 理解 为 建立 内 部 IP 地 址 (如 例 7 的 172. 16. 1. 2) 与 外 部 IP 地址 (如 
例 7 的 218.94.97.125) 之 间 的 静态 映射 。 

例 8 将 DMZ 接口 的 内 部 IP 地 址 172. 16. 1. 10 转换 为 外 部 的 218. 94. 97. 126 这 个 全 
局 地 址 。 


Pix525(config)# static (dmz, outside) 172.16.1.10 218.94.97.126 


以 上 两 个 例子 说 明 ,使 用 static 命令 可 以 为 一 个 特定 的 内 部 IP 地 址 指定 一 个 永久 的 全 
局 IP 地 址 。 这 样 就 能 够 为 具有 较 低 安全 级 别 的 指定 接口 创建 一 个 和 人口 ,使 它们 可 以 进入 到 
具有 较 高 安全 级 别 的 指定 接口 .从 而 实现 Internet 的 用 户 通 过 防火 墙 访问 内 部 主机 上 的 
资源 。 

2. 管道 命令 (conduit) 

前 面 讲 过 使 用 static 命令 可 以 在 两 个 IP 地址 之 间 创 建 一 个 静态 转换 ,但 此 时 从 外 部 到 
内 部 接口 的 连接 仍然 会 被 PIX 防火 墙 的 适应 性 安全 算法 (ASA) 阻 挡 。 
conduit 命令 允许 数据 流 从 具有 较 低 安 全 等 级 的 接口 流向 具有 较 高 安全 等 级 的 接口 , 例 


如 允许 从 外 网 接口 到 DMZ 接口 或 内 网 接口 的 请 求 连接 。 对 于 向 内 部 接口 的 连接 ,static 和 
conduit 命令 将 一 起 使 用 来 创建 连接 的 建立 。conduit 命令 配置 格式 为 : 


conduit permit | deny global ip port[-port] protocol foreign ip [netmask | 


其 中 ,permit|deny 表示 允许 或 拒绝 访问 ; global_ip 所 指 的 是 先前 由 global 或 static 命令 定 
义 的 全 局 IP 地 址 ,如 果 global_ip 为 0, 就 用 any 代替 0, 如果 global_ip 是 一 台 主 机 ,就 用 
host 命令 参数 ; port 表示 服务 所 作用 的 端口 ,例如 www 使 用 80 ,ftp 使 用 21 等 。 可 以 通过 
服务 名 称 或 端口 号 来 指定 端口 ; protocol 表示 连接 协议 ,如 TCP、UDP 和 ICMP 等 ; foreign_ip 
表示 可 访问 global_ip 的 外 部 IP 地 址 。 对 于 任意 主机 ,可 以 使 用 any 表示 。 如 果 foreign_ip 
是 一 台 主 机 ,就 用 host 命令 参数 。 

下 面 用 几 个 实例 介绍 conduit 命令 的 使 用 方法 。 

例 9 允许 任何 外 部 主机 对 全 局 地 址 218. 94. 97. 125 的 这 台 主 机 进行 http 访问 。 


Pix525(config)# conduit permit tcp host 218.94.97.125 eq www any 
其 中 使 用 eq 和 一 个 端口 或 服务 来 允许 或 拒绝 对 这 个 端口 的 访问 。eq ftp 就 是 指 允 许 或 拒 
绝 只 对 ftp 的 访问 。 对 于 TCP 和 UDP, 可 以 使 用 操作 符 eq( 等 于 ) .neq( 不 等 于 ) .gt( 大 于 )、 
lt( 小 于 ) 或 者 是 一 个 range( 范 围 ) 进 行 设置 。 

例 10 不 允许 外 部 主机 58. 128. 15. 99 对 任何 全 局 地 址 进行 FTP 访问 。 


Pix525(config)# conduit deny tcp any eq ftp host 58.128.15.99 
例 11 表示 人 允许 ICMP 消息 通过 PIX 防火 墙 (系统 默认 情况 下 ICMP 消息 是 不 允许 通 
过 PIX 防火 墙 的 ) 。 


Pix525(config)# conduit permit icmp any any 


例 12 通过 static 和 conduit 命令 ,实现 外 网 的 所 有 用 户 能 够 通过 防火 墙 访问 Web 服 
务 器 (内 部 IP 地 址 为 172. 16. 1.2, 外 部 IP 地 址 为 218. 94. 97. 125)。 


Pix525(config)# static (inside, outside) 218.94.97.125 172.16.1.2 


Pix525(config)# conduit permit tcp host 218.94.97.125 eq www any 


在 这 个 例子 中 , 先 用 static 命令 实现 内 部 私有 IP 地 址 172. 16. 1. 2 与 外 网 全 局 地 
址 218. 94.97. 125 之 间 的 转换 ,然后 利用 conduit 命令 允许 任何 外 部 主机 对 全 局 地 址 
218. 94. 97. 125 进行 http 访问 。 

3. 启用 或 禁止 协议 (fixup) 

fixup 命令 的 作用 是 启用 或 禁止 某 一 协议 ,从 而 决定 某 一 个 服务 或 协议 是 否 允 许 通 过 
PIX 防火 墙 。 由 fixup 命令 指定 的 端口 是 PIX 防火 墙 要 侦 听 的 对 象 。 下 面 举例 进行 说 明 。 

例 13 启用 FTP 协议 ,并 指定 FTP 服务 的 端口 号 为 21。 这 样 内 网 用 户 将 可 以 利用 21 
号 端口 来 访问 外 网 的 FTP 资源 。 


Pix525(config) # fixup protocol ftp 21 


例 14 为 http 协议 指定 80 和 8080 两 个 端口 。 


Pix525(config) # fixup protocol http 80 
Pix525(config)# fixup protocol http 8080 
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4. 设置 远程 登录 (Telnet) 

PIX 防火 墙 操 作 系 统 的 版 本 在 5.0(OS 5.0) 之 前 ,只 允许 从 内 部 网 络 上 的 主机 通过 
Telnet 远程 登录 防火 墙 。 在 OS 5.0 及 后 续 版 本 中 ,对 远程 登录 的 主机 开始 不 再 进行 限制 ， 
凡是 与 PIX 防火 墙 连接 的 主机 经 配置 后 都 可 以 Telnet 到 PIX 防火 墙 。 

不 过 , 当 从 外 网 接口 Telnet 到 PIX 防火 墙 时 .Telnet 数据 流 需 要 用 IPSec 协议 提供 保 
护 ,也 就 是 说 用 户 必须 在 PIX 防火 墙 上 配置 一 条 到 另外 一 台 主 机 (如 PIX 防火 墙 . 路 由 器 和 
客户 端 等 ) 的 IPSec 通道 。 另 一 种 方法 是 在 PIX 防火 墙 上 配置 SSH ,然后 用 SSH Client 从 
外 部 主机 Telnet 到 PIX 防火 墙 。PIX 防火 墙 同时 支持 SSH1 和 SSH2 ,不 过 SSH1 是 免费 
软件 ,SSH2 是 商业 软件 。 这 里 仅 介 绍 只 允许 内 部 网 络 的 主机 Telnet 到 PIX 防火 墙 的 方 
法 ,这 时 的 Telnet 配置 格式 为 : 


Telnet local_ ip [netmask] local ip 


例 15 配置 仅 允许 内 部 网 络 172. 16. 1.0/24 网 段 的 主机 Telnet 到 PIX 防火 墙 。 


Telnet 172.16.1.0 255.255.255.0 inside 


如 果 不 设 此 项 ,PIX 的 配置 方式 只 能 通过 console 口 进行 。 
另外 ,需要 说 明 的 是 , 当 对 PIX 防火 墙 进行 配置 后 ,防火 墙 重新 启动 后 配置 会 丢失 ,如 
果 要 让 配置 保存 下 来 ,需要 通过 write memory 命令 将 其 进行 保存 。 


PIX525# write memory 


习 题 


8-1 试 分 析 防 病毒 软件 与 防火 墙 的 功能 特点 ,并 比较 两 者 之 间 在 应 用 上 的 不 同 。 

8-2 ”结合 实际 应 用 ,从 用 户 的 角度 分 析 防 火 墙 应 具有 的 功能 。 

8-3 ” 试 分 析 防火 墙 的 “所 有 未 被 允许 的 就 是 禁止 的 "和 “所 有 未 被 禁止 的 就 是 允许 的 ” 
这 两 条 规则 的 特点 。 

8-4” 试 描述 包 过 滤 防 火 墙 的 工作 原理 ,并 分 析 包 过 滤 防 火 墙 的 应 用 特点 。 

8-5 ”代理 防火 墙 的 工作 原理 是 什么 ? 与 包 过 滤 防 火 墙 相 比 有 何 特 点 ? 

8-6 ”状态 检测 防火 墙 是 如 何 工作 的 ?与 包 过 滤 防 火 墙 相 比 有 何 特 点 ? 

8-7 名 词 解释 : 企业 级 防火 墙 .个 人 防火 墙 。 

8-8 与 企业 级 防火 墙 相 比 ,个 人 防火 墙 有 哪些 应 用 特点 ? 

8-9 从 计算 机 网 络 的 安全 现状 和 未 来 发 展 人 手 , 试 分 析 企业 级 防火 墙 和 个 人 防火 墙 技 
术 及 产品 的 发 展 趋势 。 

8-10 选择 一 款 个 人 防火 墙 软件 (如 瑞星 个 人 防火 墙 软件 ) ,通过 对 安全 规则 的 配置 掌 
握 个 人 防火 墙 的 功能 及 应 用 特点 。 

8-11 通过 实验 掌握 PIX 防火 墙 的 基本 配置 方法 ,以 此 了 解 企 业 级 防火 墙 的 功能 及 应 
用 特点 。 


第 9 章 VPN 技术 及 应 用 


近年 来 , 随 着 全 球 信息 化 建设 的 快速 发 展 , 对 网 络 基础 设施 的 功能 和 可 延伸 性 提出 了 新 
的 要 求 。 例 如 ,一 些 跨 地 区 组 织 的 各 分 支 机 构 之 间 需 要 进行 远 距 离 的 互联 ; 一 些 单位 的 员 
工 需 要 远程 接 入 内 部 网 络 进行 移动 办 公 。 为 了 解决 各 分 支 机 构 局 域 网 之 间 的 互联 问题 , 早 
期 只 能 通过 直接 铺设 网 络 线路 或 租用 运营 商 的 专线 ,不 但 成 本 高 ,而且 实现 困难 。 对 于 移动 
办 公用 户 来 说 ,早期 一 般 采 用 拨号 方式 接 人 到 内 部 网 络 ,在 需要 支付 较 高 的 通信 费用 的 同 
时 ,还 要 考虑 到 通信 的 安全 问题 。VPN 技术 可 以 在 公共 网 络 (如 Internet) 中 为 用 户 建立 专 
用 的 通道 ,为 局 域 网 之 间 的 远程 互联 ,以 及 内 部 网 络 的 远程 接 和 人 提供 廉价 和 安全 的 方式 。 本 
章 将 较为 系统 地 介绍 VPN 技术 的 原理 及 实现 方法 。 


9.1 VPN 技术 概述 


VPN 不 是 一 种 独立 的 组 网 技术 , 它 只 是 一 组 通信 协议 ,其 目的 是 在 Internet 等 公共 网 
络 中 虚拟 出 一 条 专用 通道 , 供 通道 的 两 个 端 节点 之 间 安 全 地 传输 信息 。 


9.1.1 VPN 的 概念 


VPN(Virtual Private Network ,虚拟 专用 网 ) 是 利用 Internet 等 公共 网 络 的 基础 设施 ， 
通过 隧道 技术 ,为 用 户 提供 一 条 与 专用 网 络 具有 相同 通信 功能 的 安全 数据 通道 ,实现 不 同 网 
络 之 间 及 用 户 与 网 络 之 间 的 相互 连接 。IETF 草案 对 基于 IP 网 络 的 VPN 的 定义 为 : 使 用 
IP 机 制 仿真 出 一 个 私有 的 广域网 。 

从 VPN 的 定义 来 看 ,其 中 “虚拟 ”是 指 用 户 不 需要 建立 自己 专用 的 物理 线路 ,而 是 利用 
Internet 等 公共 网 络 资源 和 设备 建立 一 条 逻辑 上 的 专用 数据 通道 ,并 实现 与 专用 数据 通道 
相同 的 通信 功能 ;“ 专 用 网 络 ?是 指 这 一 虚拟 出 来 的 网 络 并 不 是 任何 连接 在 公共 网 络 上 的 用 
户 都 能 够 使 用 的 ,而 是 只 有 经 过 授权 的 用 户 才 可 以 使 用 。 同 时 ,该 通道 内 传输 的 数据 经 过 了 
加 密 和 认证 ,从 而 保证 了 传输 内 容 的 完整 性 和 机 密 性 。 由 此 可 以 看 出 ,VPN 不 是 一 个 物理 
意义 上 的 专用 网 络 , 但 它 却 具 有 与 物理 专用 网 络 相同 的 功能 。 

从 实现 方法 来 看 ,VPN 是 指 依靠 ISP(Internet Service Provider, Internet 服务 提供 商 ) 
和 NSP(Network Service Provider, 网 络 服务 提供 商 ) 的 网 络 基础 设施 ,在 公共 网 络 中 建立 
专用 的 数据 通信 通道 。 在 VPN 中 ,任意 两 个 节点 之 间 的 连接 并 没有 传统 的 专用 网 络 所 需 
的 端 到 端的 物理 链 路 。 只 是 在 两 个 专用 网 络 之 间或 移动 用 户 与 专用 网 络 之 间 , 利 用 ISP 和 
NSP 提供 的 网 络 服务 ,通过 专用 VPN 设备 和 软件 ,根据 需求 构建 永久 的 或 临时 的 专用 通 
道 。 图 9-1(a) 所 示 的 是 VPN 的 物理 拓扑 ,其 功能 等 价 于 9-1(b) 所 示 的 逻辑 拓扑 。 
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(运行 有 VPN 拨 
号 软件 ) 


DDN VPN 设 备 
(a) VPN 的 物理 拓扑 示意 图 


PCI VPN 设 备 


PC1 PC2 PC3 
(b) VPN 的 逻辑 拓扑 示意 图 
图 9-1 VPN 组 成 示意 图 


9.1.2 VPN 的 基本 类 型 及 应 用 


根据 应 用 环境 的 不 同 ,VPN 主要 分 为 三 种 典型 的 应 用 方式 : 内 联网 VPN 、 外 联网 VPN 
和 远程 接 入 VPN。 

1. 内 联网 VPN 

内 联网 VPN(Intranet VPN) 的 组 网 方式 如 图 9-2 所 示 。 这 是 一 种 最 常 使 用 的 VPN 连 
接 方式 , 它 将 位 于 不 同 地 址 位 置 的 两 个 内 部 网 络 (LAN1 和 LAN2) 通 过 公共 网 络 ( 主 要 为 
Internet) 连 接 起 来 ,形成 一 个 逻辑 上 的 局 域 网 。 位 于 不 同 物理 网 络 中 的 用 户 在 通信 时 ,就 像 
在 同一 局 域 网 中 一 样 。 


公用 IP 地 址 
) 公共 网 络 
(如 Internet 


VPN 网 关 VPN 网 关 
图 9-2 内 联网 VPN 连接 示意 图 


在 内 联网 VPN 未 使 用 之 前 ,如 果 要 实现 两 个 异地 网 络 之 间 的 互联 ,就 必须 直接 铺设 网 
络 线路 ,或 租用 运营 商 的 专线 。 不 管 采用 哪 一 种 方式 ,使 用 和 维护 成 本 都 很 高 ,而 且 不 便于 
网 络 的 扩展 。 在 使 用 了 内 联网 VPN 后 ,可 以 很 方便 地 实现 两 个 局 域 网 之 间 的 互联 ,其 条 件 
是 分 别 在 每 一 个 局 域 网 中 设置 一 台 VPN 网 关 , 同 时 每 一 个 VPN 网 关 都 需要 分 配 一 个 公用 
IP 地 址 ,以 实现 VPN 网 关 的 远程 连接 。 而 局 域 网 中 的 所 有 主机 都 可 以 使 用 私有 IP 地 址 进 
行 通信 。 图 9-2 所 示 的 是 两 个 局 域 网 之 间 通 过 VPN 的 远程 互联 方式 ,根据 用 户 需求 也 可 以 
实现 多 个 局 域 网 之 间 的 远程 互联 。 


目前 ,许多 具有 多 个 分 支 机 构 的 组 织 在 进行 局 域 网 之 间 的 互联 时 ,多 采用 内 联网 VPN 
这 种 方式 。 

2. 外 联网 VPN 

外 联网 VPN(Extranet VPN) 的 组 网 方式 如 图 9-3 所 示 。 与 内 联网 VPN 相似 ,外 联网 
VPN 也 是 一 种 网 关 对 网 关 的 结构 。 在 内 联网 VPN 中 位 于 LAN1 和 LAN2 中 的 主机 是 平 
等 的 ,可 以 实现 彼此 之 间 的 通信 。 但 在 外 联网 VPN 中 ,位 于 不 同 内 部 网 络 (LAN1、LAN2 
和 LAN3) 的 主机 在 功能 上 是 不 平等 的 。 


公共 网 络 
(如 Interneb 


VPN 网 关 
(分 支 机 构 ) 


VPN 网 关 
(总 部 ) 


(银行 、 供 应 商 、 
销售 商 和 客户 等 ) 


图 9-3 外 联网 VPN 连接 示意 图 


外 联网 VPN 是 随 着 企业 经 营 方式 的 发 展 而 出 现 的 一 种 网 络 连 接 方 式 。 现 代 企 业 需 要 
在 企业 与 银行 .供应 商 、 销 售 商 及 客户 之 间 建 立 一 种 联系 ( 即 电子 商务 活动 ) ,但 是 在 这 种 联 
系 过 程 中 ,企业 需要 根据 不 同 的 用 户 身份 (如 供应 商 、 销 售 商 等 ) 进 行 授 权 访 问 ,建立 相应 的 
身份 认证 机 制 和 访问 控制 机 制 。 

外 联网 VPN 其 实 是 对 内 联网 VPN 在 应 用 功能 上 的 延伸 ,是 在 内 联网 VPN 的 基础 上 
增加 了 身份 认证 ,访问 控制 等 安全 机 制 。 

3. 远程 接 人 VPN 

远程 接 入 VPN(Access VPN) 的 组 网 方式 如 图 9-4 所 示 。 远 程 接 入 VPN 也 称 为 移动 
VPN, 即 为 移动 用 户 提供 一 种 访问 单位 内 部 网 络 资源 的 方式 ,主要 应 用 于 单位 内 部 人 员 在 
外 ( 非 内 部 网 络 ) 访 问 单位 内 部 网 络 资源 的 情况 下 ,或 为 家 庭 办 公 的 用 户 提供 远程 接 入 单位 
内 部 网 络 的 服务 。 
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图 9-4 远程 接 入 VPN 连接 示意 图 


在 远程 接 入 VPN 技术 出 现 之 前 ,如 果 用 户 要 通过 Internet 连接 到 单位 内 部 网 络 , 需 要 
在 单位 内 部 网 络 中 部 署 一 台 远 程 访问 服务 器 (Remote Access Server, RAS) ,用户 通过 拨号 
方式 连接 到 该 RAS 后 再 根据 相应 权限 来 访问 内 部 网 络 中 的 相应 资源 。 远 程 拨号 方式 需要 
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RAS 的 支持 ,而 且 用 户 与 RAS 之 间 的 通信 是 以 明文 方式 进行 ,缺乏 安全 性 。 另 外 ,远程 的 
拨号 用 户 可 能 需要 支持 长 途 电话 通信 费 。 而 远程 接 和 人 VPN 方式 中 的 远程 用 户 , 只 需要 通 
过 当地 的 ISP 接 人 到 Internet 就 可 以 连接 到 单位 的 VPN 网 关 , 并 访问 单位 内 部 的 资源 。 与 
传统 的 远程 拨号 方式 相 比 ,远程 连接 VPN 方式 实现 容易 ,使 用 费用 较 低 。 简 单 来 说 ,只 要 
用 户 能 够 接 入 Internet, 就 可 以 使 用 远程 接 入 VPN 方式 连接 到 单位 内 部 网 络 。 

目前 ,远程 接 入 VPN 方式 的 使 用 非常 广泛 ,许多 企业 和 高 校 都 采用 这 种 方式 为 本 单位 
用 户 提 供 访问 内 部 网 络 资源 的 服务 。 例 如 ,现在 许多 高 校 都 建 有 内 部 的 数字 资源 数据 库 , 如 
中 国 期 刊 全 文 数据 库 . 电 子 图 书馆 和 学 位 论文 数据 库 等 。 考 虑 到 安全 和 版 权 等 问题 ,对 这 些 
数据 库 系统 的 访问 权限 进行 了 限制 ,一 般 只 允许 本 单位 内 部 的 用 户 在 内 部 局 域 网 中 使 用 。 
为 了 方便 本 单位 用 户 在 外 部 网 络 中 能 够 访问 单位 内 部 的 网 络 资源 ,许多 高 校 都 部 署 了 远程 
访问 VPN 系统 。 


9.1.3 VPN 的 实现 技术 


VPN 是 在 Internet 等 公共 网 络 基础 上 ,综合 利用 隧道 技术 .加 密 技术 和 身份 认证 技术 
来 实现 的 。 

1. 隧道 技术 

隧道 CTunneling) 技 术 是 VPN 的 核心 技术 , 它 是 利用 Internet 等 公共 网 络 已 有 的 数据 
通信 方式 ,在 隧道 的 一 端 将 数据 进行 封装 ,然后 通过 已 建立 的 虚拟 通道 (隧道 ) 进 行 传输 。 在 
隧道 的 另 一 端 , 进 行 解 封装 操作 ,将 得 到 的 原始 数据 交 给 对 端 设备 。 

在 进行 数据 封装 时 ,根据 在 OSI 参考 模型 中 位 置 的 不 同 , 可 以 分 为 第 二 层 隧 道 技 术 和 
第 三 层 隧道 技术 两 种 类 型 。 其 中 ,第 二 层 隧道 技术 是 在 数据 链 路 层 使 用 隧道 协议 对 数据 进 
行 封装 ,然后 再 把 封装 后 的 数据 作为 数据 链 路 层 的 原始 数据 ,并 通过 数据 链 路 层 的 协议 进行 
传输 。 第 二 层 隧 道 协议 主要 有 

。L2F(Layer 2 Forwarding, 主 要 在 RFC 2341 文档 中 进行 了 定义 ) 

。 PPTP(Point-to-Point Tunneling Protocol, 主 要 在 RFC 2637 文档 中 进行 了 定义 ) 

。 L2TP(Layer 2 Tunneling Protocol, 主 要 在 RFC 2661 文档 中 进行 了 定义 ) 

第 三 层 隧 道 技 术 是 在 网 络 层 进行 数据 封装 , 即 利用 网 络 层 的 隧道 协议 将 数据 进行 封装 ， 
封装 后 的 数据 再 通过 网 络 层 的 协议 (如 IP) 进 行 传输 。 第 三 层 隧道 协议 主要 有 : 

。 IPSec(IP Security ,主要 在 RFC 2401 文档 中 进行 了 定义 ) 

。 GRE(Generic Routing Encapsulation, 主 要 在 RFC 2784 文档 中 进行 了 定义 ) 

有 关 隧 道 技术 的 详细 内 容 在 本 章 随 后 进行 专门 介绍 。 

2. 加 密 技 术 

通过 Internet 等 公共 网 络 传输 的 重要 数据 必须 经 过 加 密 处 理 , 以 确保 网 络 上 其 他 未 授 
权 的 实体 无 法 读 取 该 信息 。 目 前 在 网 络 通信 和 领域 中 常用 的 信息 加 密 体制 主要 包括 对 称 加 密 
体制 和 非 对 称 加 密 体 制 两 类 。 实 际 应 用 时 一 般 是 将 对 称 加 密 体 制 和 非 对 称 加 密 体 制 混合 使 
用 ,利用 非 对 称 加 密 技 术 进 行 密 钥 的 协商 和 交换 ,而 采用 对 称 加 密 技 术 进 行 用 户 数据 的 
加 密 。 

在 VPN 解决 方案 中 最 普遍 使 用 的 对 称 加 密 算法 主要 有 DES.3DES、AES、RC4、RC5 
和 IDEA 等 算法 。 使 用 的 非 对 称 加 密 算法 主要 有 RSA、Diffie-Hellman 和 椭圆 曲线 等 。 有 


关 加 密 算 法 和 密 钥 管理 的 相关 内 容 已 在 本 书 的 第 2 章 和 的 第 3 章 进行 了 介绍 。 

3. 身份 认证 技术 

VPN 系统 中 的 身份 认证 技术 包括 用 户 身份 认证 和 信息 认证 两 个 方面 。 其 中 ,用 户 身份 
认证 用 于 鉴别 用 户 身 份 的 真 伪 ,而 信息 认证 用 于 保证 通信 双方 的 不 可 抵赖 性 和 信息 的 完整 
性 。 从 实现 技术 来 看 ,目前 采用 的 身份 认证 技术 主要 分 为 非 PKI 体系 和 PKI 体系 两 类 ,其 
中 非 PKI 体系 主要 用 于 用 户 身 份 认证 ,而 PKI 体系 主要 用 于 信息 认证 。 

其 中 非 PKI 体系 一 般 采 用 “用 户 ID 十 密码 ”的 模式 ,目前 在 VPN 系统 中 采用 的 非 PKI 
体系 的 认证 方式 主要 有 如 下 几 种 。 

(1) PAP(Password Authentication Protocol, 密码 认证 协议 )。PAP 是 一 种 不 安全 的 
身份 验证 协议 。 当 使 用 PAP 时 ,客户 端的 用 户 账号 名 称 和 对 应 的 密码 都 以 明文 形式 进行 传 
输 。 由 于 采用 了 未 加 密 的 明文 传输 方式 ,所 以 PAP 协议 存在 不 安全 性 。 

(2) CHAP (Challenge-Handshake Authentication Protocol, 询问 握手 认证 协议 )。 
CHAP 会 将 客户 端 用 户 的 密码 采用 标准 的 MD5 算法 进行 加 密 处 理 ,然后 再 发 送 给 服务 器 
端 。 所 以 ,CHAP 要 比 PAP 和 SPAP 安全 。 

(3) EAP(Extensible Authentication Protocol, 扩 展 身份 认证 协议 ) 。EAP 允许 用 户 根 
据 自 己 的 需要 来 自行 定义 认证 方式 。EAP 的 使 用 非常 广泛 , 它 不 仅 用 于 系统 之 间 的 身份 认 
证 ,而 且 还 用 于 有 线 和 无 线 网 络 的 验证 。 除 此 之 外 ,相关 厂商 可 以 自行 开发 所 需要 的 EAP 
认证 方式 ,例如 视网膜 认证 ,指纹 认证 等 都 可 以 使 用 EAP。 

(4) MS-CHAP(Microsoft Challenge Handshake Authentication Protocol, 微 软 询问 握 
手 认证 协议 )。MS-CHAP 是 微软 公司 针对 Windows 系统 来 设计 的 , 它 是 采用 MPPE 
(Microsoft Point-to-Point Encryption) 加 密 方 法 将 用 户 的 密码 和 数据 同时 进行 加 密 后 再 

(5) SPAP(Shiva Password Authentication Protocol, Shiva 密码 认证 协议 )。SPAP 是 
针对 PAP 的 不 足 而 设计 的 , 当 采 用 SPAP 进行 身份 认证 时 ,SPAP 会 加 密 从 客户 端 发 送 给 
服务 器 端的 密码 ,所 以 SPAP 比 PSP 安全 。 

(6) RADIUSCRemote Authentication Dial In User Service ,远程 用 户 认 证 拨号 系统 )， 
相关 内 容 已 在 本 书 的 第 4 章 进 行 了 介绍 。 

PKI 体 系 主要 通过 CA, 采 用 数字 签名 和 Hash 函数 保证 信息 的 可 靠 性 和 完整 性 。 例 
如 ,目前 用 户 普遍 关注 的 SSL VPN 就 是 利用 PKI 支持 的 SSL 协议 实现 应 用 层 的 VPN 安 
全 通信 。 有 关 PKI 的 内 容 已 在 本 书 的 第 3 章 进 行 了 介绍 。 


9.1.4 VPN 的 应 用 特点 


由 于 VPN 技术 具有 非常 明显 的 应 用 优势 ,所 以 近年 来 VPN 产品 引起 了 企业 用 户 的 普 
遍 关 注 ,各 类 纯 软 件 平台 的 VPN、 专 用 硬件 平台 的 VPN 及 集成 到 网 络 设备 (主要 为 防火 墙 ) 
中 的 VPN 产品 不 断 推出 ,而 且 在 技术 上 推陈出新 ,以 满足 不 同 用 户 的 应 用 需求 。 

1. VPN 的 应 用 优势 

对 于 企业 用 户 来 说 ,VPN 提供 了 基于 Internet 的 安全 ,可 靠 和 廉价 的 远程 访问 通道 , 具 
有 以 下 的 应 用 优势 。 

(1) 节约 成 本 。VPN 的 实现 是 基于 Internet 等 公共 网 络 的 ,用 户 不 需要 单独 铺设 专用 
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的 网 络 线路 (如 铺设 光纤 等 ) ,也 不 需要 向 ISP 或 NSP 租用 专线 (如 DDN 光纤 和 虚 电 路 
等 ) ,只 需要 连接 到 当地 的 ISP 就 可 以 安全 地 接 入 单位 内 部 网 络 , 节 省 了 网 络 建设 使 用 和 维 
护 成 本 。 

(2) 提供 了 安全 保障 。VPN 综合 利用 数据 加 密 和 身份 认证 等 技术 ,保证 了 通信 数据 的 
机 密 性 和 完整 性 ,使 信息 不 被 泄露 或 暴露 给 未 经 授权 的 用 户 。 

(3) 易于 扩展 。 如 果 同 一 组 织 的 不 同 局 域 网 之 间 采 用 专线 连接 ,不 但 费用 昂贵 ,而 且 不 
便于 扩展 和 维护 。 如 果 采 用 VPN 方式 , 则 只 需要 在 每 一 个 LAN 中 增加 一 台 VPN 设备 ,就 
可 以 利用 Internet 建立 安全 连接 ,配置 和 维护 比较 简单 ,费用 较 低 。 

2. VPN 存在 的 不 足 

VPN 存在 的 不 足 主 要 是 安全 问题 。VPN 扩展 了 网 络 的 安全 边界 。 例 如 ,在 局 域 网 出 
口 处 设置 了 VPN 网 关 ( 如 图 9-4 所 示 ) 后 ,网络 的 安全 边界 将 由 局 域 网 扩展 到 外 部 主机 。 如 
果 外 部 主机 的 安全 比较 脆弱 ,那么 入 侵 者 可 以 利用 外 部 主机 连接 到 VPN 网 关 后 进入 内 部 
网 络 。 另 外 ,VPN 系统 中 密 钥 的 产生 、 分 配 、 使 用 和 管理 ,以 及 用 户 身 份 的 认证 方式 都 会 影 
响 VPN 系统 的 安全 性 。 

在 实际 应 用 中 ,一 种 有 效 的 安全 解决 方案 是 除 建立 完善 的 加 密 和 身份 认证 机 制 外 ,还 需 
要 将 VPN 和 防火 墙 配合 应 用 ,通过 防火 墙 增加 VPN 系统 的 安全 性 。 


9.2 VPN 的 隧道 技术 


VPN 技术 是 网 络 安全 领域 继 防火 墙 之 后 出 现 的 一 项 安全 技术 , 它 的 技术 核心 是 隧道 技 
术 ,VPN 的 加 密 和 身份 认证 等 安全 技术 都 需要 与 隧道 技术 相 结合 来 实现 。 


9.2.1 VPN 隧道 的 概念 


网 络 隧道 (Tunneling) 技 术 的 核心 内 容 是 指 利用 一 种 网 络 协议 (该 协议 称 为 隧道 协议 ) 
来 传输 另 一 种 网 络 协议 。 在 面向 非 连接 的 公共 网 络 上 建立 一 个 逻辑 的 ,点 对 点 连接 的 过 程 
称 为 建立 了 一 个 隧道 。 目 前 ,隧道 技术 在 计算 机 网 络 中 的 应 用 非常 广泛 , 除 本 章 介绍 的 
VPN 隧道 外 ,隧道 技术 在 IPv4 与 IPv6 互联 等 应 用 领域 大 量 使 用 。 隧 道 有 多 种 实现 方式 ， 
本 章 主 要 介绍 基于 IP 网 络 的 VPN 隧道 技术 。 

1. 隧道 的 组 成 

要 形成 隧道 ,需要 有 以 下 几 项 基本 的 要 素 。 

(1) 隧道 开通 器 (TI) 。 隧 道 开通 器 的 功能 是 在 公共 网 络 中 创建 一 条 隧道 。 

(2) 有 路 由 能 力 的 公用 网 络 。 由 于 隧道 是 建立 在 公共 网 络 中 ,要 实现 VPN 网 关 之 间 或 
VPN 客户 端 与 VPN 网 关 之 间 的 连接 ,这 一 公共 网 络 必 须 具 有 路 由 功能 。 

(3) 隧道 终止 器 (TT)。 隧 道 终 止 器 的 功能 是 使 隧道 到 此 终止 ,不 再 继续 向 前 延伸 。 

2. 隧道 的 实现 过 程 

图 9-5 所 示 的 是 一 个 基于 IP 网 络 的 VPN 隧道 ,通过 隧道 将 LAN1 和 LAN2 连接 起 
来 ,使 位 于 LAN1 和 LAN2 中 的 主机 之 间 可 以 像 在 同一 网 络 中 一 样 利 用 IP 进行 通信 。 为 
了 便于 对 隧道 的 工作 过 程 进行 描述 , 现 假设 与 LAN1 连接 的 VPN 网 关 为 障 道 开 通 器 ,而 与 
LAN2 连接 的 VPN 网 关 为 隧道 终止 器 ,用 户 数据 从 LANI1 发 往 LAN2 ,具体 过 程 如 下 。 
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图 9-5 隧道 的 工作 原理 示意 图 


(1) 封装 。 封 装 操作 发 生 在 隧道 开通 器 上 。 当 用 户 数据 (包括 有 IP 头 部 和 数据 两 部 
分 ) 到 达 隧 道 开 通 器 时 ,隧道 开通 器 将 用 户 数据 作为 自己 的 净 载 荷 , 并 对 该 净 载 荷 利用 隧道 
协议 进行 第 1 次 封装 。 这 一 次 封装 其 实 是 利用 隧道 协议 对 上 层 数据 (用 户 数据 ) 进 行 加 密 和 
认证 处 理 。 

第 1 次 封装 后 形成 的 数据 成 为 第 2 次 封装 的 净 载 荷 。 为 了 使 第 1 次 封装 后 的 数据 能 够 
通过 具有 路 由 功能 的 公共 网 络 ( 如 Internet) 进 行 传输 ,还 需要 给 它 添 加 一 个 IP 头 部 , 即 进 
行 第 2 次 封装 。 第 2 次 封装 后 的 数据 根据 其 IP 头 部 信息 进行 路 由 选择 ,并 传输 到 与 LAN2 
连接 的 VPN 网 关 。 

(2) 解 封装 。 解 封装 操作 发 生 在 隧道 终止 器 上 。 解 封装 操作 是 封装 操作 的 逆 过 程 ,第 
次 解 封装 去 掉 最 外 层 用 于 在 公共 网 络 中 进行 寻 址 的 IP 头 部 信息 ,第 2 次 解 封装 去 掉 隧道 协 
议 ,最 后 得 到 的 是 用 户 数 据 。 用 户 数据 再 根据 其 头 部 信息 在 LAN2 中 找到 目的 主机 ,完成 
通信 过 程 。 

在 数据 封装 过 程 中 ,虽然 出 现 了 两 个 “IP 头 部 ”, 但 用 户 数 据 中 的 *IP 头 部 ?在 隧道 中 是 
不 可 见 的 , 即 在 隧道 中 传输 时 主要 依靠 第 2 次 封装 时 添加 的 “IP 头 部 ”信息 进行 路 由 寻 址 。 
所 以 ,用 户 数据 中 的 “IP 头 部 ”对 隧道 来 说 是 透明 的 。 

3. 隧道 的 功能 

从 以 上 隧道 的 工作 原理 可 以 看 出 ,隧道 通过 封装 和 解 封装 操作 ,只 负责 将 LAN1 中 的 
用 户 数据 原样 传输 到 LAN2 ,使 LAN2 中 的 用 户 感觉 不 到 数据 是 通过 公共 网 络 传输 过 来 
的 。 通 过 隧道 的 建立 ,可 实现 以 下 功能 。 

(1) 将 数据 流量 强制 传输 到 特定 的 目的 地 。 虽然 隧道 建立 在 公共 网 络 上 ,但 是 由 于 在 
隧道 的 两 个 端点 (如 VPN 网 关 ) 之 间 建 立 了 一 条 虚拟 的 通道 ,所 以 从 隧道 一 端 进入 的 数据 
只 能 被 传输 到 隧道 的 另 一 端 。 

(2) 隐藏 入 有 的 网 络 地 址 。 在 如 图 9-5 所 示 的 VPN 连接 中 ,LAN1 和 LAN2 中 的 主机 
一 般 使 用 私有 IP 地 址 (用 户 数据 中 的 “IP 头 部 ” ,只 有 VPN 网 关 使 用 公用 IP 地 址 (第 2 次 
封装 添加 的 “IP 头 部 ”) 。 隧 道 的 功能 就 是 在 隧道 开通 器 和 隧道 终止 器 之 间 建 立 一 条 专用 通 
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道 , 私 有 网 络 之 间 的 通信 内 容 经 过 隧道 开通 器 封装 后 通过 公共 网 络 的 虚拟 专用 通道 进行 传 
输 ,然后 在 隧道 终止 器 上 进行 解 封装 操作 ,还原 成 私有 网 络 的 通信 内 容 , 并 转发 到 私有 网 络 
中 。 这 样 对 于 两 个 使 用 私有 IP 地 址 的 私有 网 络 来 说 ,公共 网 络 就 像 普 通 的 通信 电缆 ,而 接 
在 公共 网 络 上 的 VPN 网 关 则 相当 于 两 个 特殊 的 节点 。 

(3) 在 IP 网 络 上 传输 非 IP 协议 的 数据 包 。 隧 道 只 需要 连接 两 个 相同 类 型 (使 用 相同 
的 通信 协议 ) 的 网 络 ,至 于 这 两 个 网 络 内 部 使 用 什么 类 型 的 通信 协议 ,隧道 并 不 关心 。 对 于 
隧道 开通 器 来 说 ,不 管 接收 到 的 是 什么 类 型 的 数据 ,都 会 对 它 进 行 封装 ,然后 通过 隧道 传输 
到 另 一 端的 隧道 终止 器 ,由 隧道 终止 器 通过 解 封装 操作 进行 还 原 。 所 以 ,可 以 在 IP 网 络 上 
通过 建立 隧道 来 传输 IPX/SPX、NetBEUI 和 Appletalk 等 任何 一 类 协议 的 数据 。 

(4) 提供 数据 安全 支持 。 由 于 在 隧道 中 传输 的 数据 是 经 过 加 密 和 认证 处 理 的 ,从 而 可 
以 保证 这 些 数据 在 传输 中 的 安全 性 。 

概括 地 讲 ,隧道 技术 是 一 种 在 公共 网 络 基础 设施 上 建立 的 端 到 端 数据 传输 方式 。 使 用 
不 同 协议 (如 TCP/IP、IPX/SPX、NetBEUI 和 Appletalk 等 ) 的 用 户 数据 都 可 以 在 隧道 中 传 
输 。 首 先 隧 道 协议 将 这 些 用 户 数据 进行 重新 封装 ,然后 再 在 重新 封装 后 的 数据 上 添加 一 个 
头 部 。 头 部 提供 了 路 由 信息 ,从 而 使 封装 的 数据 能 够 通过 具有 路 由 功能 的 公共 网 络 进行 
传输 。 


9.2.2 隧道 的 基本 类 型 


根据 隧道 建立 方式 的 不 同 ,可 分 为 主动 式 隧道 和 被 动 式 隧道 两 种 基本 类 型 。 

1. 主动 式 隧道 

当 一 个 客户 端 计算 机 利用 隧道 客户 端 软件 主动 与 目标 隧道 服务 器 建立 一 个 连接 时 ,该 
连接 称 为 主动 式 隧道 。 在 主动 式 隧道 的 建立 过 程 中 ,需要 在 客户 端 计算 机 上 安装 所 需要 的 
隧道 协议 ,并且 能 够 通过 Internet 等 公共 网 络 连接 到 隧道 服务 器 。 如 图 9-6(a) 所 示 ,如 果 客 
户 端 计算 机 是 通过 Internet 拨号 方式 建立 与 隧道 服务 器 的 连接 ,需要 以 下 三 个 步骤 的 操作 。 

(1) 客户 端 计算 机 可 以 拨号 连接 到 当地 的 ISP, 建 立 一 个 到 Internet 的 连接 。 

(2) 在 客户 端 计算 机 上 利用 隧道 客户 端 软件 与 隧道 服务 器 之 间 建 立 隧道 。 在 此 过 程 
中 ,客户 端 计算 机 首先 要 知道 隧道 服务 器 的 IP 地 址 (或 主机 名 ) ,同时 在 隧道 服务 器 上 已 经 
为 该 客户 端 创建 了 连接 账户 ,并 分 配 了 访问 内 部 网 络 资源 的 相应 权限 。 

(3) 将 客户 端的 PPP 帧 (用 户 数据 ) 进 行 封装 ,通过 隧道 传送 到 目的 地 。 

这 是 一 种 最 为 常用 的 隧道 建立 方式 。 对 于 专线 接 入 ISP 的 用 户 , 由 于 客户 端 计算 机 本 
身 已 经 建立 到 Internet 的 连接 , 则 免 去 了 以 上 的 第 (1) 步 操作 ,可 以 直接 建立 起 与 隧道 服务 
器 的 连接 ,然后 进行 数据 的 传输 。 

Access VPN 中 用 户 与 VPN 网 关 之 间 的 隧道 建立 一 般 采 用 主动 式 隧道 。 

2. 被 动 式 隧道 

被 动 式 隧道 的 工作 过 程 类 似 于 如 图 9-6(b) 所 示 的 结构 。 在 主动 式 隧道 模式 中 ,客户 端 
计算 机 根据 需要 与 隧道 服务 器 之 间 建 立 临时 的 隧道 。 与 主动 式 隧道 不 同 的 是 ,被 动 式 隧道 
主要 用 于 两 个 内 部 网 络 (LAN1 与 LAN2) 之 间 的 固定 连接 。 所 以 , 当 LANI1 中 的 某 一 客户 
端 计算 机 需要 与 LAN2 中 的 计算 机 进行 通信 时 ,数据 全 部 被 交 给 隧道 服务 器 A。 隧 道 服务 
器 A 在 接收 到 该 数据 后 ,将 其 强制 通过 已 建立 的 隧道 传输 到 对 端的 隧道 服务 器 B。 与 主动 


式 隧 道 的 另 一 个 不 同 是 ,被 动 式 障 道 可 以 被 多 个 客户 端 共享 ,而 主动 式 障 道 只 能 供 建立 该 障 
道 的 客户 端 计算 机 独立 使 用 。 


且 EGY Internet 
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客户 端 计 算 机 


EE > 
隧道 服务 器 A 隧道 服务 器 B 2 
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(b) 被 动 式 隧道 的 建立 过 程 
图 9-6 隧道 的 建立 过 程 


在 被 动 式 隧 道中 ,两 个 内 部 网 络 之 间 的 隧道 在 用 户 传输 数据 之 前 就 已 经 建立 ,所 有 发 往 
另 一 个 内 部 网 络 的 用 户 数据 都 自动 地 汇集 到 已 建立 的 障 道中 传输 。 所 以 ,被 动 式 隧道 也 称 
为 强制 式 隧 道 。 

Intranet VPN 和 Extranet VPN 中 ,VPN 网 关 之 间 的 隧道 属于 被 动 式 隧道 。 


9.3 实现 VPN 的 第 二 层 隧 道 协 议 


第 二 层 隧 道 协议 是 在 OSI 参考 模型 的 第 二 层 ( 数 据 链 路 层 ) 实 现 的 隧道 协议 。 由 于 数 
据 链 路 层 的 数据 单位 称 为 帧 ,所 以 第 二 层 隧道 协议 是 以 帧 为 数据 交换 单位 来 实现 的 。 用 于 
实现 VPN 的 第 二 层 隧 道 协议 主要 有 PPTP、L2TP 和 L2F。 

在 具体 介绍 相关 协议 之 前 ,需要 对 第 二 层 协议 的 功能 进行 说 明 。 第 二 层 协 议 的 实现 依 
靠 的 是 设备 的 物理 地 址 (如 网 卡 的 MAC 地 址 ) ,负责 在 两 个 直 连 的 设备 之 间 进 行 数据 交换 。 
所 以 ,下 面 所 介绍 的 第 二 层 隧道 协议 都 是 一 种 以 物理 寻 址 为 基础 的 点 对 点 的 数据 传输 方法 。 


9.3:1 -PPTP 


PPTP(Point-to-Point Tunneling Protocol, 点 对 点 隧道 协议 ) 是 建立 在 PPP(Point-to- 
Point) 协 议和 TCP/IP 协议 之 上 的 第 二 层 隧道 协议 。PPTP 实际 上 是 对 PPP 协议 的 一 种 扩 
展 , 它 在 PPP 的 基础 上 增强 了 认证 ,压缩 和 加 密 等 功能 ,提高 了 PPP 协议 的 安全 性 。PPTP 
协议 是 一 个 第 二 层 的 隧道 协议 , 它 提供 了 PPTP 客户 端 与 PPTP 服务 器 之 间 的 加 密 通 信 , 允 
许 在 公共 IP 网 络 ( 如 Internet) 上 建立 隧道 。PPTP 支持 TCP/IP、IPX/SPX、Appletalk 和 
NetBEUI 等 多 种 网 络 协议 。 
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1. PPP 

由 于 PPTP 是 在 PPP 基础 上 发 展 起 来 的 ,所 以 在 介绍 PPTP 之 前 对 PPP 进行 简要 的 
介绍 。PPP 是 Internet 中 使 用 的 一 个 点 对 点 的 数据 链 路 层 协 议 ,其 目的 是 在 TCP/IP 网 络 
中 的 一 个 物理 节点 实现 对 上 层 数据 (IP 数据 报 ) 的 封装 ,然后 通过 已 确定 的 物理 链 路 将 封装 
后 的 数据 发 送 到 下 一 个 物理 节点 。 在 下 一 个 物理 节点 进行 解 封 装 操作 后 ,将 封装 前 的 数据 
(IP 数据 报 ) 提 供给 该 节点 的 上 一 层 ( 网 络 层 ) 进 行 处 理 。 为 此 ,PPP 的 主要 功能 是 在 TCP/ 
IP 网 络 中 实现 两 个 相 邻 物理 节点 (路 由 器 或 计算 机 ) 之 间 的 通信 , 它 只 负责 在 两 个 物理 节点 
之 间 “ 搬 运 ” 上 层 数 据 , 并 不 关心 上 层 数据 的 具体 内 容 。 

2. PPTP 的 工作 过 程 

微软 公司 是 PPTP 协议 的 主要 发 起 者 ,所 以 Windows 操作 系统 都 支持 PPTP 协议 。 
PPTP 中 创建 的 隧道 属于 主动 式 隧道 ,一 般 由 PPTP 客户 机 发 起 隧道 建立 连接 请 求 , 在 得 到 
PPTP 服务 器 认证 后 才能 建立 隧道 。 

PPTP 提供 了 在 IP 网 络 中 建立 多 协议 的 安全 VPN 的 通信 方式 , 远 端 用 户 能 够 通过 任 
何 支持 PPTP 的 ISP 访问 企业 内 部 网 络 。PPTP 提供 了 PPTP 客户 机 与 PPTP 服务 器 之 间 
的 安全 通信 。 其 中 ,PPTP 客户 机 是 指 运行 PPTP 协议 的 计算 机 ,而 PPTP 服务 器 是 指 运行 
PPTP 协议 的 服务 器 。 通 过 PPTP, 客 户 机 可 以 采用 PSTN ISDN xDSL、 以 太 网 和 无 线 等 
连接 ,以 拨号 方式 接 入 公共 IP 网 络 。 拨 号 客户 机 首先 按 正 常 的 网 络 接 入 方式 拨号 到 ISP 的 
网 络 接 人 服务 器 (NAS) ,建立 PPP 连接 。 在 此 基础 上 ,客户 机 进行 第 二 次 拨号 建立 到 
PPTP 服务 器 的 连接 ,该 连接 称 为 PPTP 隧道 。PPTP 隧道 实质 上 是 基于 IP 协议 的 另 一 个 
PPP 连接 ,其 中 IP 数据 报 可 以 封装 成 TCP /IP、IPX/SPX 和 NetBEUI 等 多 种 协议 数据 。 
如 果 客 户 机 是 直接 接 入 到 本 地 局 域 网 ,而 且 本 地 局 域 网 已 连接 到 IP 网 络 ,这 时 客户 机 则 不 
需要 第 一 次 的 PPP 拨号 连接 ,可 以 直接 与 PPTP 服务 器 建立 隧道 。 

对 于 基于 PPTP 的 VPN 而 言 ,由 于 客户 机 是 通过 拨号 方式 接 入 到 VPN 服务 器 ,所 以 
该 VPN 服务 器 也 称 为 VYPDN(Virtual Private Dial-up Network ,虚拟 专用 拨号 网 ) 服 务 器 。 
下 面 以 Windows 操作 系统 为 例 ,介绍 基于 PPTP 协议 的 VPN 的 实现 过 程 。 如 图 9-7 所 示 ， 
基于 PPTP 协议 的 VPN 是 一 种 客户 机 /服务 器 的 结构 ,包括 PPTP 服务 器 (VPDN 服务 器 ) 
和 PPTP 客户 机 两 部 分 。 具 体 工作 过 程 如 下 。 


包 发 送 YVPN 连 接 请 求 
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图 9-7 基于 PPTP 隧道 的 VPN 的 工作 示意 图 


(1) 发 送 建立 连接 请 求 。 在 此 之 前 ,需要 在 VPDN 服务 器 端 为 PPTP 客户 机 建立 好 用 
户 账户 (包括 登录 账号 和 对 应 的 密码 )。PPTP 客户 机 向 VPDN 服务 器 发 起 连接 请 求 ,具体 
可 利用 客户 端 VPN 连接 软件 来 实现 (Windows 操作 系统 自 带 )。 在 输入 VPDN 服务 器 的 


IP 地 址 后 ,首先 要 将 登录 账号 和 密码 发 送 到 VPDN 服务 器 端 进行 用 户 认 证 ,以 防止 非法 用 
户 侵入 受 保 护 的 内 部 网 络 。 

其 中 ,PPTP 用 户 的 认证 可 以 使 用 多 种 方法 ,如 PAP、SPAP、CHAP、MS-CHAP 和 
EAP 等 。 

(2) 返回 连接 完成 信息 。 当 VPDN 服务 器 验证 了 用 户 的 合法 性 后 ,返回 连接 完成 信 
息 ,表示 已 经 正式 建立 了 VPN 连接 。 

(3) 进行 数据 传输 (至 VPDN 服务 器 端 ) 。 在 接收 到 连接 完成 信息 后 ,表示 VPN 安全 
隧道 已 经 建立 ,这 时 就 可 以 进行 正常 的 数据 通信 。 在 VPN 客户 机 与 VPDN 服务 器 之 间 进 
行 数据 通信 时 ,为 了 保证 数据 传输 的 安全 性 ,可 以 选用 MPPE、RSA 和 DES 等 算法 对 IP 数 
据 报 进行 加 密 。 其 中 ,在 Windows 操作 系统 中 多 使 用 微软 公司 自己 的 MPPE 算法 进行 数 
据 的 加 密 处 理 。 

(4) 进行 数据 传输 (至 目的 主机 )。 当 VPDN 服务 器 接收 到 远程 用 户 机 发 送 过 来 的 
PPTP 数据 报 后 开始 对 其 进行 处 理 。 首 先进 行 解 封装 操作 ,从 PPTP 数据 报 中 取出 本 地 内 
部 网 络 中 的 计算 机 的 IP 地 址 (私有 IP 地址) 或 计算 机 名 称 信息 ,然后 根据 此 信息 将 其 中 的 
PPP 数据 报 转 发 到 目的 主机 。 

3. PPTP 的 报 文 格式 

在 PPTP 客户 机 与 PPTP 服务 器 之 间 传 输 的 报 文 分 为 两 种 类 型 : 控制 报 文 和 数据 
报 文 。 

(1) PPTP 控制 报 文 。 负 责 PPTP 隧道 的 建立 ,维护 和 断 开 。 当 PPTP 客户 机 通过 第 
一 次 拨号 建立 了 与 IP 网 络 的 连接 后 ,再 通过 第 二 次 拨号 建立 与 PPTP 服务 器 的 隧道 连接 。 
其 中 ,第 二 次 拨号 通过 PPTP 客户 机 上 的 PPTP 拨号 软件 (使 用 TCP 动态 端口 ) 与 PPTP 服 
务 器 的 TCP 1723 端口 建立 控制 连接 。PPTP 控制 报 文 的 结构 如 图 9-8(a) 所 示 ,其 中 各 字段 
的 内 容 如 下 。 


数据 链 路 、。 | 数据 链 路 
头 部 IP 头 部 | TCP 头 部 | PPTP 控制 信息 尾部 
(a) PPTP 控制 报 文 
数据 链 路 加 密 的 PPP | 数据 链 路 
IP 头 部 | GRE 头 部 | PPP 头 剖 
类 部 | 开头 部 | GRE 头 部 | PPP 头 部 站。 局 #x 
(b) PPTP 数据 报 文 


图 9-8 PPTP 报 文 格式 


IP 头 部 。 标 明 参 与 隧道 建立 的 PPTP 客户 机 和 PPTP 服务 器 的 IP 地 址 及 其 他 相关 
信息 。 

TCP 头 部 。 标 明 建 立 隧道 时 使 用 的 TCP 端口 等 信息 ,其 中 PPTP 服务 器 的 端口 为 
了 CR 术 汐 

PPTP 控制 信息 。 携 带 了 PPTP 呼叫 控制 和 管理 ,用 于 建立 和 维护 PPTP 隧道 。 
数据 链 路 头 部 和 数据 链 路 尾部 。 用 数据 链 路 层 协议 对 连接 数据 包 (IP 头 部 、TCP 头 
部 和 PPTP 控制 信息 ) 进 行 封装 ,从 而 实现 相 邻 物理 节点 之 间 的 数据 包 传输 。 

PPTP 控制 连接 的 建立 过 程 如 下 。 
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@ 在 PPTP 客户 机 上 动态 分 配 的 TCP 端口 (1024 以 上 ) 与 PPTP 服务 器 上 的 TCP 
1723 端口 之 间 建 立 一 个 TCP 连接 。 

@ PPTP 客户 机 发 送 一 个 用 以 建立 PPTP 控制 连接 的 PPTP 消息 。 

@ PPTP 服务 器 向 PPTP 客户 机 返回 一 条 PPTP 消息 ,对 连接 请 求 进行 响应 。 

@ PPTP 客户 机 在 接收 到 PPTP 服务 器 的 响应 后 ,再 向 PPTP 服务 器 发 送 另 一 条 
PPTP 消息 ,并 且 选 择 一 个 用 以 对 从 PPTP 客户 机 向 PPTP 服务 器 发 送 数据 的 ,对 PPTP 隧 
道 进行 标识 的 调用 ID。 

@ 当 PPTP 服务 器 接收 到 该 消息 后 ,通过 另 一 条 PPTP 消息 进行 应 答 。 并 且 为 自己 选 
择 一 个 用 以 对 从 PPTP 服务 器 向 PPTP 客户 机 发 送 数 据 的 ,对 PPTP 隧道 进行 标识 的 调 
用 ID。 

@ PPTP 客户 机 发 送 一 条 PPTP Set-Link-Info 消息 ,以 便 指定 PPP 协商 选项 。 

(2) PPTP 数据 报 文 。 负 责 传输 用 户 的 数据 ,其 报 文 结构 如 图 9-8(b) 所 示 。 在 利用 
PPTP 控制 报 文 完成 隧道 的 建立 后 ,初始 的 用 户 数据 (如 TCP/IP 数据 报 、IPX/SPX 数据 报 
文 或 NetBEUI 数 据 帧 等 ) 经 过 加 密 后 ,形成 加 密 的 PPP 净 载 荷 。 然 后 ,添加 PPP 头 部 信 
息 ,封装 形成 PPP 帧 ; PPP 帧 再 进一步 添加 GRE 头 部 信息 ,经 过 第 二 次 封装 便 形 成 GRE 
报 文 ; 第 三 次 封装 将 添加 IP 头 部 信息 ,其 中 IP 头 部 信息 包含 数据 包 的 源 IP 地 址 和 目的 IP 
地 址 ; 数据 链 路 层 封 装 是 对 IP 数据 报 文 根 据 网 络 连接 的 情况 ,添加 相应 的 数据 链 路 头 部 和 
数据 链 路 尾部 信息 。 

在 进行 第 二 次 封装 时 使 用 了 GRE(Generic Routing Encapsulation ,通用 路 由 封装 ) 协 
议 。 当 通过 PPTP 连接 发 送 数据 时 ,PPP 帧 将 利用 GRE 协议 进行 封装 ,其 中 GRE 头 部 信 
息 中 包含 了 用 以 对 数据 包 所 使 用 的 特定 PPTP 隧道 进行 标识 的 信息 。 有 关 GRE 的 详细 内 
容 将 在 本 章 随 后 的 内 容 中 进行 介绍 。 

当 PPTP 服务 器 接收 到 PPTP 数据 包 时 ,通过 以 下 过 程 进 行 解 封装 过 程 操作 。 

@ 处 理 并 去 掉 数 据 链 路 层 头 部 和 尾部 信息 。 

@ 处 理 并 去 掉 IP 头 部 信息 。 

@ 处 理 并 去 掉 GRE 和 PPP 头 部 信息 。 

@ 如 果 需 要 的 话 ,对 PPP 有 效 净 载 荷 ( 即 用 户 数 据 ) 进 行 解密 或 解压 缩 处 理 , 具 体 根据 
PPTP 客户 机 对 用 户 数据 的 处 理 情 况 而 定 。 

@ 对 用 户 数据 进行 接收 或 转发 处 理 。 


9.3.2 L2TP 


L2TP(Layer 2 Tunneling Protocol, 第 二 层 隧道 协议 ) 是 由 Cisco、Ascend、Microsoft、 
3Com 和 Bay 等 厂商 共同 制定 ,1999 年 8 月 公布 了 L2TP 的 标准 RFC 2661。 

1. L2TP 的 组 成 

L2TP 是 典型 的 被 动 式 隧道 协议 , 它 结合 了 L2F 和 PPTP 的 优点 ,可 以 让 用 户 从 客户 机 
或 接 人 服务 器 端 发 起 VPN 连接 。L2TP 是 把 链 路 层 PPP 帧 封装 在 公共 网 络 设施 (如 IP、 
ATM 帧 中 继 和 X. 25 等 ) 中 进行 隧道 传输 的 封装 协议 。 本 章 仅 介绍 基于 IP 网 络 的 L2TP。 

L2TP 主要 由 LAC(L2TP Access Concentrator,L2TP 接 人 集中 器 ) 和 LNS(L2TP Network 
Server,L2TP 网 络 服务 器 ) 构 成 。 


(1) LAC。 支 持 客户 端的 L2TP, 用 于 发 起 呼叫 .接收 呼叫 和 建立 隧道 。LAC 要求 具有 
PPP 端 系统 和 L2TP 协议 处 理 功能 ,一 般 是 一 个 NAS(Network Access Server,; 网 络 接 入 服 
务 器 ) ,为 用 户 提 供 通 过 PSTN ISDN 和 xDSL 等 多 种 方式 接 入 网 络 的 服务 。 

(2) LNS。 是 所 有 隧道 的 终点 。 在 正常 的 非 使 用 隧道 的 PPP 连接 中 ,用 户 拨号 连接 的 
终点 是 LAC, 而 L2TP 将 PPP 连接 的 终点 延伸 到 LNS。LNS 一 般 是 一 台 能 够 处 理 L2TP 
服务 器 端 协议 的 主机 。 

2. L2TP 的 特点 

在 安全 性 方面 考虑 ,L2TP 对 传输 中 的 数据 (控制 报 文 和 数据 报 文 ) 并 不 加 密 , 所 以 
L2TP 并 不 能 满足 用 户 对 安全 性 的 需求 。 为 了 消除 L2TP 协议 的 安全 隐患 ,在 实际 应 用 中 
可 以 使 用 IPSec 安全 协议 对 L2TP 控制 报 文 和 L2TP 数据 报 文 提供 安全 保护 。 所 以 ,在 部 
署 基于 L2TP 的 VPN 系统 时 ,一 般 都 通过 IPSec 加 强 系统 的 安全 性 。 

L2TP 解决 了 多 个 PPP 链 路 的 捆绑 问题 。L2TP 隧道 建立 在 LAC 和 LNS 之 间 , 在 同 
一 对 LAC 和 LNS 之 间 可 以 建立 多 个 L2TP 隧道 ,同时 在 同一 个 L2TP 隧道 中 可 以 绑 定 多 
个 PPP 链 路 。 这 是 因为 L2TP 头 部 信息 中 包含 有 隧道 标识 (Tunneling ID) 和 会 话 标识 
(Session ID) ,分 别 用 来 识别 不 同 的 隧道 和 会 话 ,可 以 将 隧道 标识 相同 而 会 话 标识 不 同 的 多 
个 PPP 链 路 复制 到 同一 条 隧道 中 。 隧 道 标 识 在 建立 隧道 时 被 分 配 ,而 会 话 标 识 是 在 隧道 建 
立 后 分 配 并 用 于 传输 用 户 数据 。 

3. L2TP 的 工作 过 程 

L2TP 的 建立 过 程 如 下 (如 图 9-9 所 示 ) 。 


@ 用 户 身 从 给 证 __ 


认证 服务 器 
(如 RADIUS) 
加 建立 隧道 


VPN 客 户 机 


图 9-9 L2TP 隧道 建立 和 数据 传输 示意 图 


(1) 用 户 通过 PSTN ISDN 和 xDSL 等 拨号 方式 连接 到 本 地 接 人 服务 器 LAC,LAC 接 
收 呼叫 并 进行 基本 的 辨别 。 其 中 辨别 方式 可 以 采用 域名 .呼叫 线路 识别 (CLID) 或 拨号 ID 
业务 (DNIS) 等 。 

(2) 当 用 户 被 确认 为 合法 用 户 时 ,就 建立 一 个 通 向 LNS 的 拨号 VPN 隧道 。 

(3) 位 于 内 部 网 络 中 的 安全 认证 服务 器 (如 RADIUS 服务 器 ) 对 拨号 用 户 的 身份 进行 
鉴别 。 
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(4) LNS 与 远程 用 户 交 换 PPP 信息 ,并 分 配 IP 地 址 。LNS 分 配给 远程 用 户 的 IP 地址 
由 管理 人 员 设 置 , 既 可 以 是 公共 IP 地 址 ,也 可 以 是 私有 IP 地 址 。 在 实际 应 用 中 一 般 使 用 私 
有 IP 地址 ,因为 LNS 分 配 的 IP 地 址 将 通过 网 络 服务 提供 商 (NSP) 的 公共 IP 网 络 在 PPP 
帧 内 传送 ,LNS 分 配 的 IP 地 址 对 NSP 来 说 是 透明 的 。 其 中 ,LAC 和 LNS 需要 使 用 公共 IP 
地 址 。 

(5) 端 到 端的 数据 从 拨号 用 户 传 到 LNS。 在 实际 应 用 中 ,LAC 将 拨号 用 户 的 PPP 帧 
封装 后 ,传送 到 LNS,LNS 去 掉 封装 的 头 部 信息 得 到 PPP 帧 ,再 去 掉 PPP 帧 的 头 部 信息 ,得 
到 网 络 层 的 用 户 数据 。 

4. L2TP 的 报 文 格式 

L2TP 客户 机 与 LNS 之 间 的 报 文 也 有 两 种 : 控制 报 文 和 数据 报 文 。 与 PPTP 不 同 的 
是 ,L2TP 的 两 种 报 文采 用 UDP 来 封装 和 传输 。 下 面 以 Windows 2000/2003 操作 系统 中 的 
L2TP 为 例 , 介 绍 基于 IPSec 的 L2TP 的 报 文 格式 。 

(1) L2TP 控制 报 文 。Windows 2000/2003 中 使 用 IPSec 加 密 的 L2TP 控制 报 文 的 结 
构 如 图 9-10(a) 所 示 。 与 PPTP 一 样 ,L2TP 的 控制 报 文 用 于 隧道 的 建立 ,维护 与 断 开 。 但 
与 PPTP 不 同 的 是 , Windows 2000/2003 中 的 L2TP 控制 报 文 在 L2TP 服务 器 端 使 用 了 
UDP 1701 端口 ,L2TP 客户 端 系统 默认 也 使 用 UDP 1701 端口 ,但 也 可 以 使 用 其 他 的 UDP 
端口 。 另 外 ,与 PPTP 不 同 的 是 ,在 L2TP 的 控制 报 文 中 ,对 封装 后 的 UDP 数据 报 使 用 
IPSec ESP 进行 了 加 密 处 理 , 同 时 对 使 用 IPSec ESP 加 密 后 的 数据 进行 了 认证 。 其 他 操作 
与 PPTP 基本 相同 。 


数据 链 路 | Ip 浆 部 | IPSec ESP IPSes ESP | IPSec ESP | 数据 链 路 


头 部 头 部 “|UDP 头 部 | L2TP 控 制 信息 | ”尾部 “| 认证 尾部 | ”尾部 


(a) Windows 2000/2003 L2TP 控 制 报 文 


数据 链 路 
头 部 


而 窜 的 PPP | IPSec EPS | IPSec EPS | 数据 链 路 


UDP 头 询 -2TP 头 部 | PPP 头 部 | 国 轩 次 载 疹 国 量 尾部 。 | 认证 尾部 | 。 尾 


(b) Windows 2000/2003 L2TP 数 据 报 文 


图 9-10 Windows 2000/2003 L2TP 报 文 格式 


ESP 是 IPSec 安全 体系 中 使 用 的 一 个 安全 协议 ,主要 用 来 处 理 IP 数据 报 的 加 密 , 同 时 
还 可 以 实现 对 数据 的 认证 等 功能 。 有 关 ESP 的 详细 内 容 在 本 章 随 后 的 内 容 中 进行 介绍 。 

(2) L2TP 数据 报 文 。 负 责 传输 用 户 的 数据 ,其 封装 后 的 报 文 结构 如 图 9-10(b) 所 示 。 
下 面 介 绍 客户 端 L2TP 数据 报 文 的 封装 过 程 ( 即 客户 端 发 送 L2TP 数据 的 过 程 ) 。 

@ PPP 封装 。 为 PPP 净 载 荷 ( 如 TCP/IP 数据 报 、IPX/SPX 数据 报 或 NetBEUI 数据 
帧 等 ) 添 加 PPP 头 部 ,封装 成 为 PPP 帧 。 

@ L2TP 封 装 。 在 PPP 帧 上 添加 L2TP 头 部 信息 ,进行 第 二 封装 ,形成 L2TP 帧 。 

@ UDP 封装 。 在 L2TP 帧 的 头 部 添加 L2TP 客户 端 和 L2TP 服务 器 的 UDP 端口 ( 默 
认为 1701) ,将 L2TP 帧 封装 成 为 UDP 报 文 。 

@ IPSec 封装 。 当 L2TP 使 用 IPSec 进行 加 密 和 安全 认证 时 ,可 在 UDP 报 文 的 头 部 添 
加 IPSec ESP 头 部 信息 ,在 尾部 依次 添加 IPSec ESP 尾部 和 IPSec ESP 认证 尾部 信息 ,用 于 
对 数据 的 加 密 和 安全 认证 。 


@ IP 封装 。 在 IPSec 报 文 的 头 部 添加 IP 头 部 信息 ,形成 IP 报 文 。 其 中 IP 头 部 信息 
中 包含 有 IPSec 客户 端 和 IPSec 服务 器 的 IP 地 址 。 

@ 数据 链 路 层 封 装 。 根 据 L2TP 客户 端 连 接 的 物理 网 络 类 型 (如 以 太 网 .PSTN 和 
ISDN 等 ) 添 加 数据 链 路 层 的 帧 头 和 帧 尾 ,完成 对 数据 的 最 后 封装 。 封 装 后 的 数据 帧 在 链 路 
上 进行 传输 。 

L2TP 服务 器 端的 处 理 过 程 正好 与 L2TP 客户 端 相反 ,为 解 封装 操作 ,最 后 得 到 封装 之 
前 的 净 载 荷 。 有 效 的 净 载 荷 将 交付 给 内 部 网 络 ,由 内 部 网 络 发 送 到 目的 主机 。 


9.33 TL2F 


L2F(Layer 2 Forwarding ,第 二 层 转 发 ) 协 议 是 由 Cisco 公司 提出 的 可 以 在 多 种 网 络 类 
型 (如 ATM 帧 中 继 和 IP 网 络 等 ) 上 建立 多 协议 的 安全 VPN 的 通信 方式 。 它 将 数据 链 路 
层 的 协议 (如 HDLC.、PPP 等 ) 封 装 起 来 传送 ,所 以 网 络 的 数据 链 路 层 完全 独立 于 用 户 的 数 
据 链 路 层 协议 。L2F 的 标准 于 1998 年 提交 给 IETEF ,并 在 RFC 2341 文档 中 发 布 。 

1. L2F 的 工作 过 程 

以 在 IP 网 络 中 实现 基于 L2F 的 VPN 为 例 ( 如 图 9-11 所 示 ),L2F 远 端 用 户 通 过 
PSTN ISND 和 以 太 网 等 方式 拨号 接 人 公共 IP 网 络 ,并 通过 以 下 步骤 完成 隧道 的 建立 和 数 
据 的 传输 。 


公共 IP 网 络 
(如 Internet) 


一 一 一 一 -一 一 -wx G 数 据 的 隧道 传输 LAN( 内 部 网 络 ) 0 


已 __@ 进 行 VYPN 挨 号 
yp 人 
L2F 服 务 器 


内 部 主机 


图 9-11 L2F 隧道 建立 和 数据 传输 示意 图 


(1) 建立 与 NAS 的 正常 连接 。 用 户 按 正常 访问 IP 网 络 的 方式 连接 到 NAS 服务 器 , 建 
立 PPP 连接 。 

(2) 进行 VPN 拨号 。VPN 客户 机 通过 VPN 软件 向 NAS 服务 器 发 送 请 求 ,希望 建立 
与 远程 L2F 服务 器 的 VPN 连接 。 

(3) 建立 隧道 。NAS 根据 用 户 名 称 等 信息 对 远程 L2F 服务 器 发 送 隧道 建立 连接 请 求 。 
这 种 方式 下 ,隧道 的 配置 和 建立 对 用 户 是 完全 透明 的 。 

(4) 数据 传输 。L2F 服务 器 允许 NAS 发 送 PPP 帧 ,并 通过 公共 IP 网 络 连接 到 L2F 服 
务 器 。 这 时 ,由 VPN 客户 机 发 送 过 来 的 数据 ,在 NAS 上 进行 L2F 封装 ,然后 通过 已 建立 的 
隧道 发 送 到 L2F 服务 器 。 

L2F 服务 器 将 接收 到 的 报 文 进 行 解 封装 操作 后 ,把 封装 前 的 用 户 数据 ( 净 载 荷 ) 接 人 到 
内 部 网 络 中 ,进一步 交付 给 目的 主机 。 
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2. L2F 的 报 文 格式 

与 PPTP 和 L2TP 一 样 ,L2F 的 报 文 也 分 为 控制 报 文 和 数据 报 文 两 部 分 。 其 中 L2F 控 
制 报 文 用 于 L2F 隧道 的 建立 ,维护 和 断 开 , 而 L2F 数据 报 文 负责 在 L2F 隧道 中 进行 数据 的 
传输 。L2F 控制 报 文 和 L2F 数据 报 文 的 格式 分 别 如 图 9-12(a) 和 图 9-12(b) 所 示 。 


数据 链 路 数据 链 路 
| yi | ma | upp Le 信息 | 尾部 
(a) L2F 控制 报 文 
数据 链 路 | . 、 加 密 的 PPP | L2F 校 验 | 数据 链 路 
头 部 IP 头 部 | UDP 头 部 | L2F 头 部 | PPP 头 部 净 载 荷 (可 选 ) 尾部 
(b) L2F 数据 报 文 


图 9-12 L2F 报 文 格式 


L2F 具备 两 个 特殊 之 处 : 一 是 在 进行 L2F 的 封装 时 ,增加 了 可 选 的 L2F 检验 信息 ,以 
确保 L2F 数据 帧 的 可 靠 传输 ; 二 是 与 L2TP 相同 ,L2F 也 使 用 UDP 端口 来 封装 L2F 数据 
帧 。 另 外 ,在 创建 L2F 隧道 的 过 程 中 ,使 用 的 认证 协议 为 PAP 或 CHAP。 除 此 之 外 ,L2F 
报 文 格式 与 L2TP 和 PPTP 类 似 , 所 以 L2F 报 文 的 封装 和 人 解 封装 过 程 不 再 单独 介绍 。 

通过 前 面 对 PPTP、L2TP 和 L2F 协议 的 介绍 ,在 隧道 的 整个 实现 过 程 中 共存 在 三 种 不 
同类 型 的 协议 : 乘客 协议 (passenger protocol) ,封装 协议 (encapsulating protocol) 和 运载 协 
议 (carrier protocol) 。 其 中 ,乘客 协议 为 被 封装 在 隧道 内 的 协议 ,在 第 二 层 隧 道中 主要 为 
PPP( 或 SLIP,SLIP 是 PPP 的 早期 协议 ); 封装 协议 用 来 创建 .维护 和 断 开 隧道 ,如 前 面 介 
绍 的 PPTP、L2TP 和 L2F; 运载 协议 用 来 运载 乘客 协议 , 它 是 公共 网 络 中 使 用 的 通信 协议 ， 
如 TCP/IP、IPX/SPX 和 Appletalk 等 。 由 于 Internet 应 用 的 广泛 性 ,目前 主要 使 用 的 运载 
协议 为 TCP/IP。 需 要 说 明 的 是 ,运载 协议 与 封装 协议 之 间 不 存在 依赖 关系 。 


9.4 实现 VPN 的 第 三 层 隧道 协议 


第 三 层 隧 道 协议 对 应 于 OSI 参考 模型 中 的 第 三 层 ( 网 络 层 ) ,使 用 分 组 (也 称 为 包 ) 作 为 
数据 交换 单位 。 与 第 二 层 隧道 协议 相 比 ,第 三 层 隧 道 协议 在 实现 方式 上 相应 要 简单 些 。 用 
于 实现 VPN 的 第 三 层 隧道 协议 主要 有 GRE 和 IPSec。 


9.4.1 GRE 


GRE(Generic Routing Encapsulation, 通 用 路 由 封装 ) 是 由 Cisco 和 Net-Smiths 公司 共 
同 提 出 ,并 于 1994 提交 给 IETF ,分 别 以 RFC 1701 和 RFC 1702 文档 发 布 。2002 年 ,Cisco 
等 公司 对 GRE 进行 了 修订 , 称 为 GRE v2, 相 关内 容 在 RFC 2784 中 进行 了 规定 。 

1. GRE 的 工作 原理 

如 图 9-13 所 示 ,在 最 简单 的 情况 下 ,路 由 器 接收 到 一 个 需要 封装 和 路 由 的 原始 数据 报 
文 (Payload, 净 载荷 ) 后 ,这 个 报 文 首先 被 GRE 封装 成 GRE 报 文 ,接着 被 封装 在 IP 协议 中 ， 
然后 完全 由 IP 层 负 责 路 由 寻 址 和 转发 。 由 此 可 以 看 出 ,GRE 在 封装 过 程 中 不 用 关心 原始 
数据 包 的 具体 格式 和 内 容 。 原 始 数 据 包 和 IP 头 部 都 将 成 为 封装 后 数据 包 的 一 部 分 。 


原始 数据 包 
! ! 净 载 荷 
Pm rem 
图 9-13 ”GRE 的 报 文 格式 


GRE 除 封装 IP 报 文 外 ,还 支持 对 IPX/SPX、Appletalk 等 多 种 网 络 通 信 协 议 的 封装 , 同 
时 还 广泛 支持 对 RIP、.OSPF、BGP 和 EBGP 等 路 由 协议 的 封装 。 

隧道 是 一 个 虚拟 的 点 对 点 的 连接 ,提供 了 一 条 通路 使 封装 的 数据 报 文 能 够 在 这 个 通路 
上 传输 ,并 且 在 一 个 隧道 的 两 端 分 别 对 数据 包 进 行 封 装 及 解 封装 。 一 个 第 三 层 的 报 文 要 想 
在 隧道 中 传输 ,必须 要 经 过 加 封装 与 解 封装 两 个 过 程 , 下 面 以 图 9-14 所 示 的 网 络 为 例 , 对 基 
于 第 三 层 隧道 技术 的 GRE 的 封装 和 解 封装 过 程 进 行 说 明 。 封 装 过 程 (假设 数据 从 IPX/ 


SPX 网 络 A 发 往 网 络 B) 如 下 。 
网 络 A 网 络 B 
总 路 由 器 A 路 由 器 B 


图 9-14 IPX/SPX 网 络 之 间 通 过 基于 Internet 的 GRE 隧道 互联 


(1) 路 由 器 A 连接 IPX/SPX 网 络 A, 并 接收 从 网 络 A 中 发 过 来 的 IPX 报 文 。 

(2) 路 由 器 A 检查 IPX 报头 中 的 目的 地 址 ,并 以 此 来 确定 如 何 路 由 该 报 文 。 

(3) 如 果 报 文 需要 通过 隧道 来 传输 , 则 路 由 器 A 将 该 IPX 报 文 发 给 路 由 器 A 上 与 隧道 
相连 的 接口 。 

(4) 路 由 器 A 的 隧道 接口 接收 到 此 IPX 报 文 后 首先 添加 GRE 头 部 信息 ,进行 GRE 封 
装 。 接 着 IP 模块 处 理 对 GRE 封装 后 的 报 文 ,进行 添加 IP 头 部 信息 ,进行 IP 封装 ,形成 新 
的 IP 报 文 。 

(5) 路 由 器 A 根据 IP 的 目的 地 址 查看 自己 的 路 由 表 , 进 行 对 IP 报 文 的 转发 。 

解 封 装 是 封装 的 逆 过 程 ,具体 过 程 如 下 。 

(1) 路 由 器 B 从 隧道 接口 收 到 IP 报 文 ,检查 目的 地 址 。 

(2) 因为 路 由 器 B 是 隧道 的 末端 路 由 器 ,所 以 路 由 器 B 去掉 IP 报 文 的 头 部 信息 , 交 给 
GRE 协议 模块 处 理 。 

(3) GRE 协议 模块 完成 相应 的 处 理 ( 如 密码 验证 、 报 文 的 序列 号 检查 等 ) 后 ,去 掉 GRE 
头 部 信息 ,将 封装 之 前 的 净 载 荷 交 给 IPX/SPX 网 络 B。 

(4) IPX/SPX 协议 模块 对 该 报 文 进行 后 续 的 转发 处 理 。 

2. GRE 的 安全 性 

为 了 提高 GRE 隧道 的 安全 性 ,GRE 支持 对 隧道 端口 的 认证 和 对 隧道 封装 的 报 文 进行 
端 到 端 校 验 功 能 。 在 RFC 1701 中 规定 ,如 果 GRE 报 文 头 部 信息 中 的 Key 标识 设置 为 1， 
则 收发 双方 将 进行 通道 识别 关键 字 ( 或 密码 ) 的 验证 ,只 有 隧道 两 端 设 置 的 识别 关键 字 完 全 
(或 密码 ) 一 致 时 才能 通过 验证 ,否则 将 报 文 丢 弃 。 如 果 GRE 报 文 头 部 信息 中 Checksum 标 
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识 位 置 为 1, 则 需要 对 隧道 中 传输 的 GRE 报 文 进行 校 验 。 发 送 方 将 对 图 9-13 中 的 GRE 头 
部 及 封装 后 的 数据 包 计 算 校 验 和 ,并 将 包含 校 验 和 的 报 文 发 送 给 隧道 对 端 。 接 收 方 对 接收 
到 的 报 文 计算 校 验 和 ,并 与 报 文中 的 校 验 和 比较 ,如 果 一 致 则 对 报 文 进一步 处 理 ,否则 丢弃 。 

由 于 GRE 提供 的 安全 特性 较 弱 ,所 以 可 以 将 IPSec 安全 体系 应 用 到 GRE 中 ,以 提高 
GRE 的 安全 性 。 


9.4.2 IPSec 


IPSec(IP Security) 是 IETF 的 IPSec 工作 组 于 1998 年 制订 的 一 组 基于 密码 学 的 开放 
网 络 安全 协议 。IPSec 工作 在 网 络 层 ,为 网 络 层 及 以 上 层 提供 访问 控制 .无 连接 的 完整 性 、 
数据 来 源 认 证 、 防 重 放 保 护 , 保 密 性 和 自动 密 钥 管理 等 安全 服务 。IPSec 是 一 套 由 多 个 子 协 
议 组 成 的 安全 体系 。 

1. IPSec 体系 结构 

IPSec 主要 由 AH (Authentication Header, 认证 头 部 ) 协议 、ESP (Encapsulating 
Security Payload, 封 装 安 全 载荷 ) 协 议和 负责 密 钥 管理 的 IKE (Internet Key Exchange， 
Internet 密 钥 交 换 ) 协 议 组 成 。IPSec 通过 AH 协议 和 一 一 一 一 一 一 一 一 一 


IPSec 安 全 体系 
ESP 协议 来 对 网 络 层 或 上 层 协 议 进行 保护 ,通过 IKE | 
协议 进行 密 钥 交 换 。 各 协议 之 间 的 关系 如 图 9-15 二 
所 示 。 1 I 
(1) AH。 为 IP 数 据 报 提供 无 连接 的 数据 完整 性 ge 二 这 

和 数据 源 身份 认证 ,同时 具有 防 重 放 (replay) 攻 击 的 能 T | 
力 。 可 通过 消息 认证 (如 MD5) 产 生 的 校 验 值 来 保证 数 解释 域 

据 完整 性 ; 通过 在 待 认证 的 数据 中 加 入 一 个 共享 密 1 

钥 来 实现 数据 源 的 身份 信 证 ; 通过 AH 头 部 的 序列 号 密 钥 管 理 


来 防止 重 放 攻击 。AH 的 详细 内 容 可 参看 RFC 2402 图 9.15 IPSec 安全 体系 结构 示意 图 
文档 。 

(2) ESP。 为 IP 数据 报 提供 数据 的 保密 性 (通过 “加 密 算法 ”来 实现 ) .无 连接 的 数据 完 
整 性 和 数据 源 身份 认证 及 防 重 放 攻 击 保护 。 与 AH 相 比 ,数据 保密 性 是 ESP 的 新 增 功能 。 
ESP 中 的 数据 源 身份 认证 、 数 据 完整 性 校 验 和 防 重 放 攻 击 保护 的 实现 与 AH 相同 。ESP 的 
详细 内 容 可 参看 RFC 2406 文档 。 

需要 说 明 的 是 ,AH 和 ESP 既 可 以 单独 使 用 ,也 可 以 配合 使 用 。 由 于 ESP 提供 了 对 数 
据 的 保密 性 ,所 以 在 目前 的 实际 应 用 中 多 使 用 ESP ,而 很 少 使 用 AH。 

(3) 解释 域 (DOD 。 解 释 域 将 所 有 的 IPSec 协议 捆绑 在 一 起 ,为 IPSec 的 安全 性 提供 综 
合 服务 。 例 如 , 当 系 统 中 同时 使 用 了 ESP 和 AH 时 ,解释 域 将 两 者 的 安全 性 进行 集成 。 

(4) IKE。IKE 协议 是 密 钥 管理 的 一 个 重要 组 成 部 分 , 它 在 通信 系统 之 间 建 立 安全 关 
联 ,提供 密 钥 确 定 、 密 钥 管理 的 机 制 ,是 一 个 产生 和 交换 密 钥 并 协调 IPSec 参数 的 框架 。 
IKE 将 密 钥 协 商 的 结果 保留 在 SA( 安 全 关联 ) 中 , 供 AH 和 ESP 通信 时 使 用 。IKE 的 详细 
内 容 可 参看 RFC 2409 文档 。 

2. IPSec 的 工作 模式 

IPSec 协议 可 以 在 两 种 模式 下 运行 : 传输 模式 和 隧道 模式 。 其 中 ,传输 模式 使 用 原来 的 


IP 头 部 ,把 AH 或 ESP 头 部 插入 到 IP 头 部 与 TCP 头 部 之 间 , 为 上 层 协 议 提 供 安全 保护 。 
传输 模式 保护 的 是 IP 数据 报 中 的 有 效 载 荷 ( 上 层 的 TCP 报 文 段 或 UDP 数据 报 ) 。 传 输 模 
式 的 IPSec 组 成 结构 如 图 9-16(a) 所 示 。 


公共 IP 网 络 
(如 Internet) 


| Tcp 关 部 | 数据 ( 光 吉 荷 | 数据 链 路 


IP 头 部 


部 | ree] sacriti) Bes 


(a) IPSec 的 传输 模式 


公共 IP 网 络 


数据 ( 净 载荷 ) 入 


数据 ( 净 载荷 ) 


新 IP 头 部 IP 头 部 |TCP 头 部 


新 IP 头 部 轩 半 者 


TCP 头 部 


(b) IPSec 的 隧道 模式 


图 9-16 IPSec 的 工作 模式 


隧道 模式 首先 为 原始 IP 数据 报 增加 AH 或 ESP 头 部 ,然后 再 在 外 部 添加 一 个 新 IP 头 
部 。 原 来 的 IP 数据 报 通过 这 个 隧道 从 IP 网 络 的 一 端 传递 到 另 一 端 , 途 中 所 经 过 的 路 由 器 
只 检查 最 外 面 的 IP 头 部 (新 IP 头 部 ), 而 不 检查 原来 的 IP 数据。 由 于 增加 了 一 个 新 IP 头 
部 ,因此 新 IP 数据 报 的 目的 地 址 可 能 与 原来 的 不 一 致 。 隧 道 模式 的 IPSec 组 成 结构 如 
图 9-16(b) 所 示 。 

IPSec 的 传输 模式 实现 了 主机 之 间 端 到 端的 安全 保障 ,AH 和 ESP 保护 的 是 用 户 数据 
( 兆 载 荷 ) 。 在 通常 情况 下 ,传输 模式 只 用 于 两 台 主机 之 间 的 安全 通信 。 隧 道 模式 为 整个 IP 
数据 报 提供 了 安全 保护 。 隧 道 模 式 通常 用 在 隧道 的 其 中 一 端 或 两 端 是 安全 网 关 ( 防 火 墙 . 路 
由 器 等 ) 的 网 络 环境 中 。 使 用 隧道 模式 后 ,安全 网 关 后 面 的 主机 可 以 使 用 内 部 私有 IP 地 址 
进行 通信 ,而 且 在 内 部 通信 中 不 需要 使 用 IPSec。 

传输 模式 下 的 IPSec 数据 包 未 对 原始 IP 头 部 提供 加 密 和 认证 ,因而 存在 利用 IP 头 部 
信息 进行 网 络 攻击 的 隐患 。 传 输 模式 的 优点 是 对 原始 数据 包 的 长 度 增加 很 少 ,因此 占用 系 
统 的 开销 也 较 小 。 在 隧道 模式 下 ,由 于 原始 数据 包 成 了 新 数据 包 的 净 载 荷 , 所 以 安全 性 较 
高 ,但 对 系统 的 开销 较 大 。 
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3. AH 

如 图 9-15 所 示 ,在 IPSec 安全 体系 中 ,AH 通过 验证 算法 为 IP 数据 报 提供 了 数据 完整 
性 和 数据 源 身份 认证 功能 ,同时 还 提供 了 防 重 放 攻 击 能 力 ( 可 选 ), 但 AH 协议 不 提供 数据 
加 密 功能 。 

(1) 数据 完整 性 。 是 指 保 证 数据 在 存储 或 传输 过 程 中 ,其 内 容 未 被 有 意 或 无 意 改 变 。 

(2) 数据 源 身 份 认证 。 是 指 对 数据 的 来 源 进 行 真 实 性 认证 ,认证 依据 主要 有 源 主机 标 
识 、 用 户 账户 和 网 络 特性 (IP 地址、 接口 的 物理 地 址 等 ) 。 

(3) 重 放 攻 击 。 是 指 攻 击 者 通过 重 放 消 息 或 消息 片段 达到 对 目标 主机 进行 欺骗 的 攻击 
行为 ,其 主要 用 于 破坏 认证 的 正确 性 。 

AH 头 部 位 于 IP 头 部 和 传输 层 协议 头 部 之 间 。“ 而 在 隧道 模式 中 ,AH 位 于 新 IP 头 部 
与 原 IP 数据 报 之 间 ”, 如 图 9-17 所 示 。AH 可 以 单独 使 用 ,也 可 以 与 ESP 协议 结合 使 用 。 


Ip 头 部 TCP 头 部 | 数据 (载荷 | 原始 IP 数 据 报 


> 进行 认证 


IP 头 部 | 可 由 TCP 头 部 
[= 进行 认证 
原始 IP 数 据 报 
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图 9-17 AH 的 认证 方式 及 协议 组 成 


下 一 个 报头 


下 一 个 报头 (Next Header) 。 用 于 识别 在 AH 后 面 的 一 个 IP 数据 报 的 类 型 。 在 传 
输 模式 下 ,将 是 原始 IP 数据 报 的 类 型 ,如 TCP 或 UDP; 在 隧道 模式 下 ,如 果 采 用 
IPv4 封装 时 这 一 字段 值 设置 为 4, 如 果 是 IPv6 封装 时 这 一 字段 值 设置 为 41。 

长 度 (Length)。AH 头 部 信息 的 长 度 。 由 于 在 AH 头 部 信息 中 还 设置 了 “保留 " 字 
段 (图 9-17 未 标 出 ) ,在 不 同 应 用 中 AH 头 部 的 长 度 是 不 确定 的 ,所 以 对 于 某 一 

体 应 用 来 说 需要 标明 整个 AH 头 部 的 长 度 值 。 

安全 参数 索引 (Security Parameters Index,SPI) 。 在 AH 头 部 中 ,SPI 字 段 的 长 度 为 
32 位 。SPI 的 值 可 以 任意 设置 , 它 与 IP 头 部 (如 果 是 隧道 模式 , 则 为 “新 IP 头 部 ”) 
中 的 目的 IP 地址 一 起 用 于 识别 数据 报 的 安全 关联 。 其 中 , 当 SPI 为 0, 被 保留 用 来 
表明 “没有 安全 关联 存在 ”。 

序列 号 (Sequence Number)。 序 列 号 字段 的 长 度 为 32 位 , 它 是 一 个 单 向 递增 的 计数 
器 ,不 允许 重复 ,用 于 唯一 地 标识 每 一 个 发 送 数 据 包 , 为 安全 关联 提供 防 重 放 攻 击 的 
保护 。 接 收 端 通过 校 验 序列 号 ,确定 使 用 某 一 序列 号 的 数据 包 是 否 已 经 被 接收 过 ， 
如 果 已 接收 过 , 则 拒 收 该 数据 包 , 避 免 了 重 放 攻 击 的 发 生 。 

认证 数据 (Authentication Data) 。 认 证 数据 字段 是 一 个 可 变 长 度 的 字段 ,但 该 字段 
中 包含 一 个 非常 重要 的 项 , 即 完整 性 检查 和 (ICV) , 它 是 一 个 Hash 函数 值 。 接 收 端 


在 接收 到 数据 包 后 ,首先 执行 相同 的 Hash 运算 ,将 运算 值 再 与 发 送 端 所 计算 的 
ICV 值 进行 比较 ,如 果 两 者 相同 ,表示 数据 完整 。 如 果 数 据 在 传输 过 程 中 被 算 改 , 则 
两 个 计算 结果 将 不 一 致 。 
4. ESP 
ESP 为 IP 数据 报 提供 数据 的 保密 性 (通过 加 密实 现 ) 、 无 连接 的 数据 完整 性 数据 源 身 
份 认证 及 防 重 放 攻 击 的 功能 。 其 中 ,ESP 安全 协议 的 特点 如 下 。 
(1) ESP 服务 依据 建立 的 安全 关联 是 可 选 的 。 
(2) 数据 完整 性 检查 和 数据 源 身 份 认证 一 起 进行 。 
(3) 仅 当 与 数据 完整 性 检查 和 数据 源 身份 认证 一 起 使 用 时 , 防 重 放 攻 击 保护 才 是 可 
选 的 。 
(4) 防 重 放 攻 击 保护 只 能 由 接收 方 选 择 使 用 。 
(5) ESP 的 加 密 服务 是 可 选 的 ,但 当 启 用 了 加 密 功 能 后 ,也 就 选择 了 数据 完整 性 检查 和 
数据 源 身份 认证 。 因 为 仅 使 用 加 密 功 能 对 IPSec 系统 来 说 是 不 安全 的 。 
(6) ESP 可 以 单独 使 用 ,也 可 以 和 AH 结合 使 用 。 一 般 ESP 不 对 整个 IP 数据 报 加 密 ， 
只 加 密 IP 数据 报 的 有 效 载 荷 部 分 ,不 包括 IP 头 部 。 但 在 端 对 端的 隧道 通信 中 ,ESP 需 
ete ttl 
ESP 的 安全 体系 和 协议 组 成 如 图 9-18 所 示 。 其 中 ESP 头 部 包括 安全 参数 和 序列 号 两 
个 字段 ,其 功能 描述 与 AH 相同 。ESP 尾部 包括 如 下 内 容 。 
扩展 位 (Padding)。 其 值 在 0 一 255B( 字 节 ) 之 间 。 主 要 是 在 进行 数据 加 密 处 理 的 过 
程 中 ,为 了 使 加 密 数据 的 长 度 符合 某 一 加 密 算法 的 要 求 ( 如 是 512 的 整数 倍 ) ,或 在 
加 密 时 隐藏 用 户 数据 的 真实 长 度 , 就 使 用 扩展 位 来 填充 。 
扩展 位 长 度 (Padding Length)。 它 是 ESP 尾部 的 必 选 
如 果 该 字段 值 为 0, 表示 没有 扩展 (没有 使 用 填充 )。 
。 下 一 个 报头 。 用 于 识别 在 AH 后 面 的 一 个 IP 数据 报 的 类 型 ,具体 含义 与 AH 协议 
中 的 下 一 个 报头 的 定义 相同 。 


先 字 段 ,表示 扩展 位 的 长 度 值 。 
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图 9-18 ESP 的 安全 体系 和 协议 组 成 
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ESP 认证 部 分 仅 包 含 一 个 认证 数据 (Authentication Data) 字 段 ,只 有 在 安全 关联 中 启 
用 了 认证 功能 时 , 才 会 有 此 字段 。 其 功能 与 AH 中 的 数据 认证 字段 的 定义 相同 ,但 要 认证 
的 字段 包括 ESP 头 部 、 原 始 卫 数据 报 和 ESP 尾部 。 

5. IKE 

IKE(Internet Key Exchange,Internet 密 钥 交换 协议 ) 是 IPSec 规定 的 一 种 用 来 动态 创 
建安 全 关联 的 密 钥 协商 协议 。 在 IPSec 系统 中 .IKE 对 SA 进行 协商 ,并 对 安全 关联 数据 库 
(SAD) 进 行 维护 。IKE 是 IETF 提出 的 一 种 混合 型 协议 ,按照 其 框架 设计 ,采用 三 个 RFC 
文档 来 定义 IKE 协议 。 

(1) ISAKMP(Internet Security Association and Key Management Protocol) 。 定 义 了 
一 个 密 钥 交换 的 基本 框架 ,包括 报 文 格式 、 报 文 如 何 解析 和 密 钥 协 商 过 程 等 。 

(2) IPSec DOI(IPSec Domain of Interpretation) 。 它 是 对 ISAKMP 应 用 于 IPSec 解释 
域 的 描述 ,规定 了 ISAKMP 和 IKE 究竟 要 协商 什么 。 

(3) IKE。 是 符合 ISAKMP 的 一 个 密 钥 交换 协议 。IKE 是 在 ISAKMP 的 框架 下 定义 
的 , 它 的 某 些 细节 又 在 IPSec DOI 中 进行 描述 。 同 时 ,IKE 还 采用 了 Oakley(Oakley 密 钥 管 
理 协议 ) 的 部 分 交换 模式 ,以 及 SKEME(Secure Key Exchange Mechanism ,安全 密 钥 交换 
机 制 ) 协 议 的 共享 和 密 钥 更 新 技术 。 

Q@ IKE 协商 SA 的 两 个 阶段 。 第 一 阶段 的 主要 目的 在 于 验证 对 方 的 身份 ,从 而 得 到 
ISAKMP SA ,为 第 二 阶段 建立 一 个 安全 信道 ; 第 二 阶段 是 在 第 一 阶段 协商 的 基础 上 利用 找 
到 的 IPSec 安全 策略 库 中 的 相应 策略 进行 协商 ,建立 实际 使 用 的 IPSec SA。 一 个 ISAKMP 
SA 可 用 来 建立 多 个 IPSec SA。 

@ 模式 。IKE 协议 规定 了 主 模 式 、 野 蛮 模 式 ,快速 模式 和 新 群 模式 4 种 模式 。 其 中 第 
一 阶段 只 能 采用 主 模式 或 野蛮 模式 中 的 一 种 ,两 种 模式 的 区 别 是 : 主 模 式 包括 6 条 消息 , 交 
换 过 程 提供 身份 认证 ; 野蛮 模式 只 包括 3 条 消息 ,如 果 不 使 用 公 钥 验证 方法 ,交换 过 程 不 提 
供 身份 认证 功能 。 第 二 阶段 只 能 采用 快速 模式 。 新 群 模式 既 不 属于 第 一 阶段 ,也 不 属于 第 
二 阶段 , 它 跟 在 第 一 阶段 之 后 ,利用 第 一 阶段 的 协商 结果 来 协商 新 的 群 参数 。 

@ 验证 方法 。IKE 协议 指定 第 一 阶段 可 以 使 用 下 列 方式 进行 验证 。 

。 预 共 享 密 钥 。 通 信 双 方 通过 某 种 安全 途径 获取 交换 双方 唯一 共享 的 密 钥 ,通过 

Hash 运算 来 完成 认证 。 

。 数字 签名 。 通 信 双 方 利用 自己 的 私 钥 对 特定 的 信息 进行 签名 ,对方 利用 获得 的 公 钥 

进行 解密 处 理 , 以 确定 对 方 的 身份 ,完成 认证 过 程 。 

。 公 和 钥 加 密 。 通 信和 双方 利用 对 方 的 公 钥 来 加 密 特定 的 信息 ,同时 根据 对 方 返回 的 结果 

以 确定 对 方 的 身份 。 在 IKE 协议 中 可 采用 两 种 加 密 方法 : 一 种 是 一 次 公 钥 加 密 ,一 
次 私 钥 解 密 ; 另 一 种 是 两 次 公 钥 加 密 ,两 次 私 钥 解密 。 


9.5 VPN 实现 技术 


本 章 前 面 重点 介绍 了 第 二 层 和 第 三 层 隧道 协议 的 实现 原理 及 应 用 特点 ,隧道 协议 是 
VPN 的 基础 。 对 于 用 户 来 说 ,可 以 利用 公共 网 络 基础 设施 ,通过 VPN 实现 多 个 内 部 网 络 之 
间 的 远程 互联 ; 对 于 电信 运营 商 来 说 ,VPN 已 成 为 目前 最 具 潜力 的 业务 之 一 。 所 以 ,不 管 


是 企业 用 户 还 是 电信 运营 商 ,VPN 都 蕴含 着 极 大 的 商机 ,已 经 成 为 提供 新 一 代 电 信 业 务 的 
基石 。 近 年 来 ,VPN 在 网 络 互联 和 用 户 远 程 接 入 中 得 到 了 广泛 应 用 ,本 节 介 绍 的 MPLS 
VPN 和 SSL VPN 则 是 目前 应 用 领域 的 主流 技术 。 


9.5.1 MPLS VPN 


IP 技术 和 ATM 技术 是 现代 计算 机 通信 系统 中 的 两 大 技术 支柱 。 然 而 , 随 着 各 类 应 用 
需求 的 不 断 出 现 , 人 们 和 希望 以 Internet 为 主 的 IP 网 络 不 仅仅 能 够 提供 传统 的 电子 邮件 、 上 
网 浏览 等 需求 ,而 且 还 能 够 提供 在 线 视 频 、 交 互 式 应 用 等 宽带 、 实 时 性 业务 。ATM 曾经 被 
普遍 认为 是 能 够 提供 多 种 业务 的 快速 交换 技术 ,但 是 由 于 IP 技术 已 经 成 为 应 用 中 既成 事实 
的 网 络 标准 ,致使 现在 的 ATM 网 络 主要 用 来 承载 IP 数据 流 。 在 此 情况 下 ,人 们 和 希望 IP 数 
据 流 也 能 提供 类 似 于 ATM 的 多 种 类 型 的 服务 ,而 ATM 在 应 用 领域 也 急需 要 得 到 功能 的 
扩展 。MPLS(Multiprotocol Label Switch ,多 协议 标签 交换 ) 便 是 其 中 一 种 被 业界 看 好 的 解 
决 方案 。 在 现 有 的 MPLS 应 用 中 ,MPLS VPN 的 技术 最 为 成 熟 . 应 用 最 为 广泛 。2002 年 ， 
美国 Telecommunications 杂志 将 MPLS VPN 技术 评 为 十 大 热门 技术 之 一 。 

1. MPLS 的 概念 和 组 成 

MPLS 是 一 个 可 以 在 多 种 第 二 层 网 络 ( 如 ATM,、 帧 中 继 、 以 太 网 和 PPP 等 ) 上 进行 标签 
交换 的 网 络 技术 。 这 一 技术 结合 了 第 二 层 交 换 和 第 三 层 路 由 的 特点 ,将 第 二 层 的 基础 设施 
和 第 三 层 的 路 由 有 机 地 结合 起 来 。 第 三 层 的 路 由 在 网 络 的 边缘 实施 ,而 在 MPLS 的 网 络 核 
心 采用 第 二 层 交 换 。 

MPLS 是 一 种 特殊 的 转发 机 制 , 它 为 进入 网 络 中 的 IP 数据 包 分 配 标签 ,并 通过 对 标签 
的 交换 来 实现 IP 数据 包 的 转发 。 标 签 位 于 IP 数据 包 的 头 部 ,在 MPLS 内 部 通过 标签 来 将 
代 原 有 的 IP 地 址 来 寻 址 。 在 MPLS 网 络 内 部 , 带 有 标签 的 数据 包 在 到 达 某 一 节点 (如 路 由 
器 ) 时 ,节点 通过 交换 数据 包 的 标签 (而 不 是 IP 地 址 ) 来 实现 转发 。 当 数据 包 要 离开 MPLS 
网 络 时 ,数据 包 被 去 掉 入 口 处 添加 的 标签 ,继续 按照 IP 包 的 路 由 方式 到 达 目 的 网 络 。 

如 图 9-19 所 示 , MPLS 网 络 主要 由 核心 部 分 的 标签 交换 路 由 器 (Label Switching 
Router,LSR) .边缘 部 分 的 标签 边缘 路 由 器 (Label Edge Router,LER) 和 在 节点 之 间 建 立 和 
维护 路 径 的 标签 交换 路 径 (Label Distribution Path,LSP) 组 成 。 


局 
LSR 
图 9-19 MPLS 网 络 的 组 成 


(1) LSR。 它 的 作用 可 以 看 作 是 ATM 交换 机 与 传统 路 由 器 的 结合 ,提供 数据 包 的 高 
速 交 换 功 能 。LSR 位 于 MPLS 网 络 的 中 心 ,主要 完成 运行 MPLS 控制 协议 (如 LDP) 和 第 
三 层 的 路 由 协议 。 同 时 ,负责 与 其 他 的 LSR 交换 路 由 信息 ,建立 完善 的 路 由 表 。 

(2) LER。 作 用 是 分 析 IP 数据 包 的 头 部 信息 ,在 一 端 负责 IP 数据 包 进入 MPLS 网 络 ， 
在 另 一 端 负责 IP 数据 包 离开 MPLS 网 络 。 同 时 ,在 LER 处 可 以 实现 对 业务 的 分 类 、 分 发 
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标签 及 去 掉 标签 (在 另 一 端 ) ,而 且 还 可 以 实现 策略 管理 和 流量 工程 控制 等 功能 。 其 中 流量 
工程 控制 是 MPLS 除 VPN 之 外 的 另 一 项 重要 应 用 。 传 统 IP 网 络 一 旦 为 某 一 个 IP 数据 包 
选择 了 一 条 路 径 ,IP 数据 包 就 会 沿 着 这 条 路 径 传输 ,而 不 管 这 一 条 路 径 是 否 出 现 阻塞 或 还 
有 更 好 的 路 径 可 供 选 择 。MPLS 可 以 控制 IP 数据 包 在 网 络 中 的 传输 路 径 ,动态 地 选择 目前 
的 最 佳 路 径 进行 IP 数据 包 的 传输 。 

(3) LSP。 在 MPLS 节点 之 间 的 路 径 称 为 标签 交换 路 径 。 当 MPLS 在 分 配 标签 的 过 程 
中 便 建立 了 一 条 LSP。LSP 可 以 是 动态 的 ,由 路 由 信息 自动 生成 ; 也 可 以 是 静态 的 ,由 人 工 
进行 设置 。LSP 可 以 看 作 是 一 条 贯穿 网 络 的 单 向 隧道 ,所 以 当 两 个 节点 之 间 要 进行 全 双 工 
通信 时 需要 两 条 LSP。 

另外 ,为 了 控制 LSR 之 间 交 换 标签 和 绑 定 信 息 , 以 及 协调 LSR 之 间 的 工作 ,MPLS 还 
提供 了 标签 分 配 协议 (Label Distribution Protocol,LDP)。LDP 是 MPLS 的 核心 部 分 ,LDP 
将 某 一 个 LSR 生成 的 标签 及 其 隐 含 在 标签 中 的 信息 传送 给 相 邻 的 LSR, 从 而 在 相 邻 LSR 
之 间 建 立 一 条 信息 传输 的 通道 。 正 是 LDP 具有 的 标签 分 发 功能 ,所 以 能 够 使 LSR 之 间 在 
标签 的 分 发 ,使 用 和 维护 中 达到 一 致 性 ,进而 建立 一 条 从 一 端的 LER 到 另 一 端的 LER 的 完 
整 LSP。 

2. MPLS 的 工作 过 程 

如 图 9-20 所 示 , MPLS 的 工作 过 程 如 下 。 


包 RS | 本 村 IP 效 据 熙 [IP 效 据 包 
更 换 标签 “| 去 掉 标 签 


图 9-20 MPLS 中 IP 数据 包 的 转发 过 程 


(1) 由 标签 分 配 协议 和 传统 路 由 协议 (如 OSPF、RIP 等 ) 共 同 在 各 个 LSR 中 为 需要 使 
用 MPLS 服务 的 转发 等 价 类 (FEC) 建 立 标签 交换 转发 表 和 路 由 表 。 

其 中 ,转发 等 价 类 (Forwarding Equivalence Class,FEC) 是 指 一 组 具有 相同 的 转发 特征 
的 IP 数据 包 , 当 LSR 接收 到 这 一 组 IP 数据 包 时 将 会 按照 相同 的 方式 来 处 理 每 一 个 IP 数 
据 包 ,如 从 同一 个 接口 转发 到 相同 的 下 一 个 节点 ,并 具有 相同 的 服务 类 别 和 服务 优先 级 。 
FEC 与 标签 是 一 一 对 应 的 ,标签 用 来 绑 定 FEC, 即 用 标签 来 表示 属于 一 个 从 上 游 LSR 流向 
下 游 LSR 的 特定 FEC 的 分 组 。 标 签 的 结构 如 图 9-21 所 示 ,其 中 各 部 分 的 内 容 如 下 。 

。 Label。 该 字段 为 标签 字段 ,占用 20 位 的 长 度 , 用 于 存放 与 相 邻 节点 (LER 和 LSR) 

的 LSP 等 信息 相关 的 标识 符 。 


20 位 3 位 “1 位 8 位 
r- ER 


Label EXP S TIL 


图 9-21 MPLS 中 标签 的 结构 


。 EXP。 该 字段 为 实验 字段 ,占用 3 位 的 长 度 , 用 于 标记 该 MPLS 中 IP 数据 包 的 优先 
级 ,实现 不 同 的 服务 质量 。 
。 S。 该 字段 占用 1 位 的 长 度 ,为 堆栈 (Stack) 字 段 。 当 S 的 值 为 1 时 ,表示 在 该 标签 
内 部 还 有 标签 ,否则 为 0。 
。 TTL。 该 字段 表示 生存 周期 ,占用 8 位 的 长 度 。 是 IP 数据 包 在 网 络 中 经 过 的 最 大 
路 由 节点 数 。 
值得 注意 的 是 ,LDP 信 令 及 标签 绑 定 信息 只 在 MPLS 相 邻 节点 间 传 递 。LSR 之 间或 
LSR 与 LER 之 间 依 然 需要 运行 标准 的 路 由 协议 (如 OSPF、RIP 等 ) ,并 由 此 获得 网 络 拓扑 
信息 。 通 过 这 些 信息 ,LSR 可 以 明确 选取 IP 数据 包 的 下 一 跳 并 可 最 终 建 立 特定 的 LSP。 
(2) 在 MPLS 网 络 的 入 口 处 为 IP 数据 包 添加 标签 。LER 接受 IP 数据 包 , 完 成 第 三 层 
的 功能 (如 带宽 管理 .QoS 等 ) ,判定 IP 数据 包 所 属 的 FEC, 根 据 IP 数据 包 中 的 目的 地 址 或 
有 关 服 务 质量 等 信息 映射 规则 ,将 IP 数据 包 的 头 部 信息 和 固定 长 度 的 标签 对 应 起 来 。 这 样 
就 给 IP 数据 包 加 上 了 标签 ,形成 了 MPLS 标签 分 组 并 通过 标签 中 标明 的 接口 转发 出 去 。 
(3) 在 LSP 上 进行 标签 交换 。 在 IP 数据 包 以 后 的 网 络 转发 过 程 中 ( 即 在 MPLS 域 
内 ),LSR 只 是 根据 IP 数据 包 所 携带 的 标签 来 进行 标签 交换 和 数据 转发 ,不 再 进行 任何 第 
三 层 (如 IP 路 由 寻 址 ) 处 理 。 在 每 一 个 节点 上 ,LSR 首先 去 掉 由 前 一 个 节点 添加 的 标签 , 然 
后 将 一 个 新 的 标签 添加 到 该 IP 数据 包 的 头 部 ,并 告诉 下 一 跳 (下 一 个 节点 ) 如 何 转发 它 。 
(4) 在 出 口 处 为 IP 数据 包 去 掉 标 签 。 在 MPLS 的 出 口 LER 上 ,将 IP 数据 包 中 的 标签 
去 掉 , 然 后 继续 进行 转发 。 
3. MPLS VPN 的 概念 和 组 成 
在 学 习 了 MPLS 的 相关 知识 后 ,下 面 学 习 MPLS VPN 的 有 关内 容 。MPLS VPN 是 利 
用 MPLS 中 的 LSP 作为 实现 VPN 的 隧道 ,用 标签 和 VPN ID 将 特定 VPN 的 数据 包 进 行 
唯一 识别 。 在 无 连接 的 网 络 上 建立 的 MPLS VPN, 所 建立 的 隧道 是 由 路 由 信息 的 交互 而 得 
的 一 条 虚拟 隧道 ( 即 LSP) 。 
与 本 章 前 面 介绍 的 基于 第 二 层 和 第 三 层 隧道 协议 的 VPN 相 比 较 , MPLS VPN 可 以 充 
分 利用 MPLS 技术 的 一 些 优 势 , 为 用 户 提 供 更 安全 可靠 的 隧道 连接 服务 。 例 如 ,MPLS 的 
流量 工程 控制 .服务 质量 等 。 对 于 电信 运营 商 来 说 ,只 需要 在 网 络 边 缘 设 备 (LER) 上 启用 
MPLS 服务 ,对 于 大 量 的 中 心 设备 (LSR) 不 需要 进行 配置 ,就 可 以 为 用 户 提 供 MPLS VPN 
等 服务 业务 。 根 据 电信 运营 商 边 界 设备 是 否 参与 用 户 端 数据 的 路 由 .运营 商 在 建立 MPLS 
VPN 时 有 两 种 选择 : 第 二 层 的 解决 方案 ,通常 称 为 第 二 层 MPLS VPN; 第 三 层 解决 方案 ， 
通常 称 为 第 三 层 MPLS VPN。 在 实际 应 用 中 ,MPLS VPN 主要 用 于 远 距离 连接 两 个 独立 
的 内 部 网 络 ,这 些 内 部 网 络 一 般 都 提供 有 边界 路 由 器 ,所 以 多 使 用 第 三 层 MPLS VPN 来 实 
现 。 下 面 将 以 第 三 层 MPLS VPN 为 例 进行 介绍 。 如 图 9-22 所 示 ,一 个 MPLS VPN 系统 主 
要 由 以 下 几 个 部 分 组 成 。 
(1) 用 户 边缘 (Custom Edge,CE) 设 备 。CE 设备 属于 用 户 端 设备 ,一般 由 单位 用 户 提 
供 ,并 连接 到 电信 运营 商 的 一 个 或 多 个 PE 路 由 器 。 通 常情 况 下 ,CE 设备 是 一 台 IP 路 由 器 
或 三 层 交 换 机 , 它 与 直 连 的 PE 路 由 器 之 间 通 过 静态 路 由 或 动态 路 由 (如 RIP、OSPF 等 ) 建 
立 联系 。 之 后 ,CE 将 站 点 的 本 地 路 由 信息 广播 给 PE 路 由 器 ,并 从 直 连 的 PE 路 由 器 学 习 到 
远 端的 路 由 信息 。 
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图 9-22 ”MPLS VPN 的 组 成 


(2) 提供 商 边缘 (Provider Edge,PE) 设 备 。PE 路 由 器 为 其 直 连 的 站 点 维持 一 个 虚拟 
路 由 转发 表 (VRF) ,每 个 用 户 链接 被 映射 到 一 个 特定 的 VRF。 需 要 说 明 的 是 ,一 般 在 一 个 
PE 路 由 器 上 同时 会 提供 多 个 网 络 接口 ,而 多 个 接口 可 以 与 同一 个 VRF 建立 联系 。PE 路 
由 器 具有 维护 多 个 转发 表 的 能 力 , 以 便 每 个 VPN 的 路 由 信息 之 间 相 互 隔离 。PE 路 由 器 相 
当 于 MPLS 中 的 LER。 

(3) 提供 商 (Provider,P) 设 备 。P 路 由 器 是 电信 和 运营 商 网 络 中 不 连接 任何 CE 设备 的 
路 由 器 。 由 于 数据 在 MPLS 主干 网 络 中 转发 时 使 用 第 二 层 的 标签 堆栈 ,所 以 了 路 由 器 只 需 
要 维护 到 达 PE 路 由 器 的 路 由 ,并 不 需要 为 每 个 用 户 站 点 维护 特定 的 VPN 路 由 信息 。P 路 
由 器 相当 于 MPLS 中 的 LSR。 

(4) 用 户 站 点 (site)。 是 在 一 个 限定 的 地 理 范 围 内 的 用 户 子 网 ,一 般 为 单位 用 户 的 内 部 
局 域 网 。 

4. MPLS VPN 的 数据 转发 过 程 

在 MPLS VPN 中 ,通过 以 下 4 个 步 又 完成 数据 包 的 转发 。 

(1) 当 CE 设备 将 一 个 VPN 数据 包 转 发 给 与 之 直 连 的 PE 路 由 器 后 ,PE 路 由 器 查找 该 
VPN 对 应 的 VRF, 并 从 VRF 中 得 到 一 个 VPN 标签 和 下 一 跳 ( 下 一 节点 ) 出 口 PE 路 由 器 
的 地 址 。 其 中 ,VPN 标签 作为 内 层 标签 首先 添加 在 VPN 数据 包 上 ,接着 将 在 全 局 路 由 表 中 
查 到 的 下 一 跳出 口 PE 路 由 器 的 地 址 作为 外 层 标 签 再 添加 到 数据 包 上 。 于 是 ,VPN 数据 包 
被 封装 了 内 、 外 两 层 标签 。 

(2) 主干 网 的 P 路 由 器 根据 外 层 标 签 转发 IP 数据 包 。 其 实 ,P 路 由 器 并 不 知道 它 是 一 
个 经 过 VPN 封装 的 数据 包 ,而 把 它 当 作 一 个 普通 的 IP 分 组 来 传输 。 当 该 VPN 数据 包 到 
达 最 后 一 个 P 路 由 器 时 ,数据 包 的 外 层 标签 将 被 去 掉 , 只 剩 下 带 有 内 层 标签 的 VPN 数据 
包 , 接 着 VPN 数据 包 被 发 往 出 口 PE 路 由 器 。 

(3) 出 口 PE 路 由 器 根据 内 层 标 签 查找 到 相应 的 出 口 后 ,将 VPN 数据 包 上 的 内 层 标签 
去 掉 , 然 后 将 不 含 标签 的 VPN 数据 包 转 发 给 指定 的 CE 设备 。 

(4) CE 设备 根据 自己 的 路 由 表 将 封装 前 的 数据 包 转 发 到 正确 的 目的 地 。 

综 上 所 述 ,MPLS VPN 的 优势 在 于 可 以 通过 相同 的 网 络 结构 来 支持 多 种 VPN ,并 不 需 
要 为 每 一 个 用 户 分 别 建 立 单独 的 通道 。 同 时 ,MPLS VPN 将 基于 IP 网 络 的 VPN 功能 内 置 
于 网 络 本 身 ,无 需 进行 复杂 的 配置 和 管理 。 


9.5.2 SSL VPN 


本 章 前 面 介绍 的 MPLS VPN 是 由 电信 运营 商 为 企业 用 户 提 供 的 一 种 实现 内 部 网 络 之 
间 远 程 互联 的 业务 ,而 本 节 将 要 介绍 的 SSL VPN 主要 供 企 业 移动 用 户 访 问 内 部 网 络 资 源 
时 使 用 。 

1. SSL VPN 的 功能 

SSL VPN 是 一 种 借助 SSL 协议 实现 安全 VPN 通信 的 远程 访问 解决 方案 。 远 程 用 户 
通过 SSL VPN 能 够 访问 企业 内 部 的 资源 ,这 些 资源 包括 Web 服务 ,文件 服务 (包括 FTP 服 
务 \Windows 网 上 邻居 服务 ) ,可 转换 为 Web 方式 的 应 用 (如 Webmail) 及 基于 C/S 的 各 类 
应 用 等 。SSL VPN 属于 应 用 层 的 VPN 技术 ,VPN 客户 端 与 服务 器 之 间 通 过 https 安全 协 
议 来 建立 连接 和 传输 数据 。 

SSL VPN 的 核心 是 SSL 协议 。SSL 协议 是 基于 Web 应 用 的 安全 协议 , 它 指定 了 在 应 
用 层 协议 (如 HTTP .Telnet 和 FTP 等 ) 和 TCP/IP 协议 之 间 进 行 数据 交换 的 安全 机 制 ,为 
TCP/IP 连接 提供 数据 加 密 、 服 务 器 认证 及 可 选 的 客户 机 认证 等 功能 ,有 关 SSL 协议 的 详细 
内 容 已 在 本 书 第 4 章 进 行 了 专门 介绍 。 

目前 SSL VPN 的 应 用 模式 基本 上 分 为 三 种 : Web 浏览 器 模式 .SSL VPN 客户 端 模 式 
和 LAN 至 LAN 模式 。 其 中 ,由 于 Web 浏览 器 模式 不 需要 安装 客户 端 软件 ,只 需 通过 标准 
的 Web 浏览 器 (如 Windows 操作 系统 的 IE 等 ) 连 接 Internet, 即 可 以 通过 私有 隧道 访问 到 
企业 内 部 的 网 络 资源 。 这 样 无 论 是 从 软件 购买 成 本 ,还 是 从 系统 的 维护 ,管理 成 本 上 都 具有 
一 定 的 优势 ,所 以 Web 浏览 器 模式 的 应 用 最 为 广泛 。 不 过 ,需要 说 明 的 是 ,SSL VPN 并 非 
“无 需 安装 客户 端 软件 ”, 而 是 可 以 不 单独 安装 客户 端 软件 。 根 据 用 户 需 要 ,现在 大 部 分 SSL 
VPN 系统 既 可 以 使 用 专门 的 SSL VPN 客户 端 软件 ,也 可 以 直接 使 用 标准 的 Web 浏览 器 。 
当 使 用 标签 的 Web 浏览 器 时 ,一 般 需要 安装 专门 的 Web 浏览 器 控件 (插件 )。 本 节 主 要 以 
Web 浏览 器 模式 为 主 介绍 SSL VPN 的 实现 原理 和 主要 应 用 。 

2. 基于 Web 浏览 器 模式 的 SSL VPN 

基于 Web 浏览 器 模式 的 SSL VPN 在 技术 上 将 Web 浏览 器 软件 .SSL 协议 及 VPN 技 
术 进 行 了 有 机 结合 ,在 使 用 方式 上 可 以 利用 标准 的 Web 浏览 器 ,并 通过 遍及 全 球 的 
Internet 实现 与 内 部 网 络 之 间 的 安全 通信 ,已 成 为 目前 应 用 最 为 广泛 的 VPN 技术 。 

如 图 9-23 所 示 ,SSL VPN 客户 端 使 用 标准 Web 浏览 器 通过 SSL VPN 服务 器 (也 称 为 
SSL VPN 网 关 ) 访 问 单位 内 部 网 络 中 的 资源 。 在 这 里 ,SSL VPN 服务 器 扮演 的 角色 相当 于 
一 个 用 于 数据 中 转 的 代理 服务 器 ,所 有 Web 浏览 器 对 内 部 网 络 中 以 Web 方式 提供 的 资源 
的 访问 都 经 过 SSL VPN 服务 器 的 认证 。 内 部 网 络 中 的 服务 器 (如 Web、FTP 等 ) 发 往 Web 
浏览 器 的 数据 经 过 SSL VPN 服务 器 加 密 后 送 到 Web 浏览 器 ,从 而 在 Web 浏览 器 和 SSL 
VPN 服务 器 之 间 由 SSL 协议 构建 了 一 条 安全 通道 。 

在 以 上 通信 过 程 中 ,需要 注意 以 下 几 点 。 

(1) SSL VPN 系统 是 由 SSL HTTPS 和 COSKS 这 三 个 协议 相互 协作 来 实现 的 。 其 
中 ,SSL 协议 作为 一 个 安全 协议 ,为 VPN 系统 提供 安全 通道 ; HTTPS 协议 使 用 SSL 协议 
保护 HTTP 应 用 的 安全 ; COCKS 协议 实现 代理 功能 ,负责 转发 数据 。SSL VPN 服务 器 同 
时 使 用 了 这 三 个 协议 ,而 SSL VPN 客户 端 对 这 三 个 协议 的 使 用 有 所 差别 ,Web 浏览 器 只 
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图 9-23 基于 Web 浏览 器 模式 的 SSL VPN 的 工作 过 程 


用 HTTPS 和 SSL 协议 ,而 SSL VPN 客户 端 程序 则 使 用 SOCKS 和 SSL 协议 。 

(2) SSL VPN 客户 端 与 SSL VPN 服务 器 之 间 通 信 时 使 用 的 是 HTTPS 协议 。 由 于 
HTTPS 协议 是 建立 在 SSL 协议 之 上 的 HTTP 协议 ,所 以 在 SSL VPN 客户 端 与 SSL VPN 
服务 器 之 间 进 行 通信 时 ,首先 要 进行 SSL 握手 ,握手 过 程 结束 后 再 发 送 HTTP 数据 包 。 

(3) SSL VPN 服务 器 与 单位 内 部 网 络 中 的 服务 器 之 间 的 通信 使 用 的 是 HTTP 协议 。 
SSL VPN 客户 端 对 发 送 的 数据 首先 进行 加 密 处 理 ,然后 通过 HTTPS 协议 发 送 给 SSL 
VPN 服务 器 。 当 SSL VPN 服务 器 接收 到 SSL VPN 客户 端的 该 数据 后 ,解密 该 数据 ,得 到 
明文 的 HTTP 数据 包 。 然 后 ,SSL VPN 服务 器 将 HTTP 数据 包 利 用 内 部 的 数据 通信 传输 
给 要 访问 的 资源 服务 器 。 从 内 部 资源 服务 器 到 SSL VPN 客户 端的 数据 传输 过 程 正好 
相反 。 

(4) HTTP 代理 。SSL VPN 服务 器 提供 了 HTTP 代理 功能 。HTTP 代理 用 于 将 客户 
端的 请 求 转发 给 内 部 服务 器 ,同时 将 内 部 服务 器 的 响应 转发 给 客户 端 。 在 SSL VPN 系统 
中 ,SSL VPN 服务 器 相当 于 一 台 代 理 服务 器 , 它 将 客户 端 与 服务 器 之 间 的 通信 进行 了 隔离 ， 
隐藏 了 内 部 网 络 的 信息 。 不 过 , HTTP 代理 是 基于 TCP 协议 的 ,UDP 数据 报 无 法 通过 
HTTP 代理 。 如 果 客 户 端 需要 通过 HTTP 代理 来 访问 UDP 服务 ,客户 端 就 需要 将 UDP 
数据 报 转换 为 TCP 报 文 段 , 再 发 送 给 HTTP 代理 ,而 HTTP 代理 在 接收 到 TCP 报 文 段 后 
将 它 再 还 原 为 UDP 数据 报 , 并 转发 给 目的 服务 器 。 

(5) 可 Web 化 应 用 。 凡 是 可 以 通过 应 用 转换 ,隐藏 其 真实 应 用 协议 和 端口 ,以 Web 页 
面 方式 提供 给 用 户 的 应 用 协议 , 称 为 可 Web 化 应 用 。 例 如 , 当 使 用 邮件 客户 端 软件 (如 
Foxmail ,Outlook 等 ) 进 行 邮件 收发 操作 时 ,邮件 服务 器 需要 同时 开放 POP3 协议 的 110 
号 端口 和 SMTP 协议 的 25 号 端口 。 但 是 ,在 支持 Webmail 方式 的 邮件 系统 中 ,用 户 可 以 
通过 访问 Web 页 面 来 收发 邮件 ,邮件 系统 向 用 户 隐 藏 了 真正 的 邮件 服务 器 所 提供 的 
端口 。 


(6) 客户 端 控件 。 当 客户 端 需要 访问 内 部 网 络 中 的 C/S 应 用 时 , 它 从 SSL VPN 服务 
器 下 载 控 件 。 该 控件 是 一 个 服务 监听 程序 , 它 用 于 将 客户 端的 C/S 数据 包 转 换 为 HTTP 
协议 支持 的 连接 方法 ,并 通知 SSL VPN 服务 器 它 所 采用 的 通信 协议 (TCP 或 UDP) 及 要 访 
问 的 目的 服务 地 址 和 端口 。 客 户 机 上 的 控件 与 SSL VPN 服务 器 建立 安全 通道 后 ,在 本 机 
上 接收 客户 端的 数据 ,并 通过 SSL 通道 将 数据 转发 给 SSL VPN 服务 器 。SSL VPN 服务 器 
解密 数据 包 后 直接 转发 给 内 部 网 络 中 的 目的 服务 器 。SSL VPN 服务 器 在 接收 到 内 部 网 络 
中 目的 服务 器 的 响应 数据 包 后 ,再 通过 SSL 通道 发 送 给 客户 端 控件 。 客 户 端 控件 解密 SSL 
数据 包 后 转发 给 客户 端 应 用 程序 。 

3. SSL VPN 的 应 用 特点 

在 VPN 应 用 中 ,SSL VPN 属于 较 新 的 一 项 技术 。 相 对 于 传统 的 VPN (如 IPSec 
VPN),SSL VPN 既 有 其 应 用 优势 ,也 存在 不 足 。SSL VPN 的 主要 优势 如 下 。 

(1) 可 以 不 安装 单独 的 客户 端 软 件 。 虽 然 SSL VPN 支持 三 种 不 同 的 工作 模式 ,但 在 实 
际 应 用 中 多 使 用 Web 浏览 器 模式 。Web 浏览 器 模式 不 需要 在 客户 端 安装 单独 的 客户 端 软 
件 , 只 要 使 用 标准 的 Web 浏览 器 即 可 。 

(2) 支持 大 多 数 设备 。SSL VPN 不 仅仅 支持 在 计算 机 上 使 用 ,而 且 还 支持 使 用 标准 
Web 浏览 器 的 PDA 等 移动 设备 。 

(3) 安全 性 较 高 。SSL VPN 在 Internet 等 公共 网 络 中 通过 使 用 SSL 协议 提供 了 安全 
的 数据 通道 ,并 提供 了 对 用 户 身 份 的 认证 功能 。 认 证 方式 除了 传统 的 用 户 名 /密码 方式 外 ， 
还 可 以 是 数字 证 书 .RADIUS 等 多 种 方式 。SSL VPN 能 对 加 密 隧 道 进行 细 分 ,从 而 使 用 户 
在 浏览 Internet 上 公有 资源 的 同时 ,还 可 以 访问 单位 内 部 网 络 中 的 资源 。 

(4) 方便 部 署 。SSL VPN 服务 器 一 般 位 于 防火 墙 内 部 ,为 了 使 用 SSL VPN 业务 ,只 需 
要 在 防火 墙 上 开启 HTTPS 协议 使 用 的 TCP 443 端口 即 可 。 

(5) 支持 的 应 用 服务 较 多 。 通 过 SSL VPN ,客户 端 目前 可 以 方便 地 访问 单位 内 部 网 络 
中 的 WWW、FTP、 电 子 邮件 和 Windows* 网 上 邻居 ”等 常用 的 资源 。 目 前 ,一 些 公司 推出 的 
SSL VPN 产品 已 经 能 够 为 用 户 提供 在 线 视频 .数据库 等 多 种 访问 。 而 且 随 着 技术 的 不 断 发 
展 ,SSL VPN 将 会 支持 更 多 的 访问 服务 。 

虽然 SSL VPN 技术 具有 很 多 优势 ,但 在 应 用 中 存在 的 一 些 不 足 也 逐渐 反映 了 出 来 , 主 
要 表现 如 下 。 

(1) 占用 系统 资源 较 大 。SSL 协议 由 于 使 用 公 匙 密码 算法 ,所 以 运算 强度 要 比 IPSec 
VPN 大 ,需要 占用 较 大 的 系统 资源 。 所 以 SSL VPN 的 性 能 会 随 着 同时 连接 用 户 数 的 增加 
而 下 降 。 

(2) 支持 的 应 用 有 限 。 目 前 ,大 多 数 SSL VPN 都 是 基于 标准 的 Web 浏览 器 而 工作 的 ， 
能 够 直接 访问 的 主要 是 Web 资源 ,其 他 资源 的 访问 需要 经 过 可 Web 化 应 用 处 理 , 系 统 的 配 
置 和 维护 都 比较 困难 。 另 外 ,SSL VPN 客户 端 对 Windows 操作 系统 的 支持 较 好 ,但 对 
UNIX、Linux 等 操作 系统 的 支持 较 差 。 

另外 ,SSL VPN 的 稳定 性 还 需要 提高 ,同时 许多 客户 端 防火 墙 软件 和 防 病 毒 软件 都 会 
对 SSL VPN 产生 影响 。 


VPN 技术 及 应 用 


击 心 收 


计算 机 网 络 安 会 投 太 


9.6 实验 操作 1 基于 Windows Server 2003 
的 PPTP VPN 的 实现 
下 面 以 图 9-24 所 示 的 应 用 为 例 ,介绍 基于 PPTP 的 VPN 实现 方法 。 其 中 客户 端 可 通 


过 Modem 拨号 .ADSL 或 局 域 网 接 和 人 Internet, 单 位 VPN 服务 器 运行 Windows Server 
2003 操作 系统 ,并 且 已 经 采用 公共 IP 地 址 连接 到 了 Internet 上 。 


公共 IP 地 址 


VPN 客 户 器 
(采用 Modem、ADSL 或 
小 区 局 域 网 接 入 ) 


PPTP VPN 隧 道 


图 9-24 基于 PPTP VPN 连接 拓扑 


9.6.1 安装 和 配置 VPN 服务 器 


由 于 不 同 单位 网 络 接 入 和 管理 方式 的 不 同 ,对 于 VPN 服务 器 的 网 络 连接 和 设置 方式 
可 能 不 同 , 但 一 般 是 在 VPN 服务 器 上 安装 两 块 网 卡 , 其 中 一 块 网 卡 用 于 外 网 连接 (设置 在 
外 网 上 使 用 的 公共 IP 地 址 ) , 另 一 块 网 卡 用 于 内 部 网 络 的 连接 (设置 内 部 网 络 中 使 用 的 私有 
IP 地 址 )。 在 此 基础 上 ,通过 以 下 方法 安装 和 配置 PPTP VPN 服务 器 。 

(1) 选择 “开始 ”>“ 程 序 ”>“ 管 理工 具 ”>“ 路 由 和 远程 访问 ”, 在 打开 的 “路 由 和 远程 访 
问 ” 窗 口中 选取 服务 器 名 称 WLDHJ( 本 地 ), 单 击 鼠 标 右键 ,在 弹出 的 快捷 菜单 中 选择 “配置 
并 启用 路 由 和 远程 访问 "命令 ,如 图 9-25 所 示 。 


:路 由 和 运程 访问 
文件 (E) 操作 他 ”查看 (W) 帮助 (HH) 
生字 | 白田 |X 邯 国 | 钨 


重用 路 由 和 远程 访问 (分 jp 远程 访问 ， 在 “操作 ”菜单 上 单 击 “ 配 置 并 启用 路 由 和 
所 有 任务 (K) » 


和 远程 访问 ， 部 署 方案 ， 以 及 疑难 解答 的 更 多 信息 ， 请 


图 9-25 配置 并 启用 路 由 和 远程 访问 


(2) 在 出 现 的 “路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 框 中 ,直接 单 击 下 一 步 ” 按 钮 ,在 
打开 的 如 图 9-26 所 示 的 对 话 框 中 选取 “远程 访问 (拨号 或 VPN)” 单 选 按 钮 。 
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sa 
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将 此 网 络 连 按 到 一 个 远程 网 络 ， 例 如 一 个 分 支 办 公 室 - 


个 自 定义 配置 C) 
选择 在 路 由 和 远程 访问 中 的 任何 可 用 功能 的 组 合 。 


有 关 这 些 选 项 的 更 多 信息 ， 请 参阅 路 由 和 远程 访问 帮助 。 
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图 9-26 ”选取 “远程 访问 (拨号 或 VPN)" 单 选 按钮 


(3) 单 击 “ 下 一 步 " 按 钮 ,在 出 现 的 如 图 9-27 所 示 的 对 话 框 中 选取 VPN 复 选 框 。 
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图 9-27 选取 VPN 远程 访问 方式 


(4) 单 击 “ 下 一 步 ” 按 钮 ,在 打开 的 如 图 9-28 所 示 的 对 话 框 中 选择 用 来 连接 Internet 的 
网 卡 ( 本 地 连接 ) ,该 网 卡 使 用 的 是 连接 外 部 网 络 的 公共 IP 地 址 。 

其 中 ,当选 取 “ 通 过 设置 静态 数据 包 筛 选 器 来 对 选择 的 接口 进行 保护 ? 复 选 框 后 ,VPN 
服务 器 会 限制 只 有 VPN 的 数据 包 才 可 以 通过 此 网 卡 进 入 内 部 网 络 , 其 他 的 了 P 数据 包 到 该 
VPN 服务 器 时 将 被 拒绝 ,从 而 增强 VPN 系统 的 安全 性 。 不 过 ,当选 取 了 该 复 选 框 后 ,通过 
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路 由 和 运程 访问 服务 器 安装 向 导 E 


YP 连接 -ee 
要 多 许 YPN 客户 并 和 接 到 此 服务 器 ， 至 少 要 有 一 个 网 络 接口 广 按 到 Di 
Internets 


选择 格 此 服务 器 连接 到 Internet 的 网 络 接口 。 
8 接口 四: 


ET 
本 地 连接 8 ware Virtual Et. 192. 168. 236. 


下 通过 设置 囊 坟 数据 包 第 志 器 来 对 选择 的 接口 进行 保护 @)。 
静态 数据 也 得 先 器 只 允许 YPN 通讯 通过 选 定 的 接口 访问 此 服务 器 。 


有 关 网 络 接口 的 更 多 信息 ,请 参阅 路 由 和 渤 程 访问 入 助 。 


《< 上 - 步 @)[ 下 一 步 如 站 取消 


图 9-28 选择 与 Internet 连接 的 网 卡 


该 网 站 只 能 与 VPN 客户 端 进行 通信 ,而 无 法 与 非 VPN 客户 端 进 行 通 信 。 如 果 是 专用 的 
VPN 服务 器 ,建议 选取 此 复 选 框 。 

(5) 单 击 “ 下 一 步 ” 按 钮 ,在 出 现 的 如 图 9-29 所 示 的 对 话 框 中 选取 与 内 网 连接 的 网 卡 
(本 地 连接 1)。 


路 由 和 远程 访问 服务 器 安装 向 导 EE 


网 络 选择 
您 可 以 格 远 程 YN 客户 端 指派 到 起 让 他 们 使 用 的 网 络 上 。 Ds| 
ess El ts 竹 记 二 必须 拓 到 一 个 同上 。 语 丰 
网 络 接口 


sm me | 


图 9-29 选择 与 内 网 连接 的 网 卡 


(6) 单 击 * 下 一 步 ? 按 钮 ,打开 如 图 9-30 所 示 的 对 话 框 。 其 中 各 选项 的 含义 如 下 。 

。 自动 。 由 VPN 服务 器 向 网 络 中 的 DHCP 服务 器 先 租用 IP 地 址 ,然后 再 分 配给 客 
户 端 使 用 。 如 果 该 网 络 中 没有 DHCP 服务 器 , 则 该 远程 访问 服务 器 将 会 自动 向 客 
户 端 分 配 169. 254. x . x 的 IP 地 址 (其 中 x 代表 的 范围 为 1~254)。 


。 来 自 一 个 指定 的 地 址 范围 。 如 果 选 择 了 此 项 ,在 单 击 “ 下 一 步 ? 按 钮 后 , 则 需要 在 打 
开 的 对 话 框 中 设置 要 分 配给 客户 端的 IP 地 址 范围 。 
(7) 在 图 9-30 中 选取 “自动 ” 单 选 按钮 , 单 击 “ 下 一 步 " 按 钮 ,将 打开 如 图 9-31 所 示 的 对 
话 框 。 在 本 例 中 选取 “和 否 ,使 用 路 由 和 远程 访问 来 对 连接 请 求 进行 身份 验证 ? 单 选 按钮 。 


路 由 和 运程 访问 服务 器 安装 向 导 3 


I? 地 址 指定 本 
您 可 以 选择 对 远程 客户 庙 指 派 IP 地 址 的 方法 。 mh)| 


您 想 如 何 对 远程 客户 端 指派 IP 地 址 ? 
6 
+， 请 确认 它 配 置 正确 。 加 果 没 有 使 
i : 
个 来 自 一 个 指定 的 地 址 范围 加 ) 


《上 一 步 @) [下 - 步 中 )] 取消 


图 9-30 选择 IP 地 址 指定 方式 


路 由 和 远程 访问 服务 器 安装 向 导 E 


管理 多 个 远程 访问 服务 器 5 
连接 请 求 可 昼 夺 二 地 进行 身份 验证 ， 或 者 竺 发 运程 身份 验证 技 号 用 户 服 ”回国 曙 | 
务 RADIUS) 服 务 器 进行 身份 验证 。 


二 


加 晤 咯 直 有 服务 器 悠 可 以 设置 此 服务 器 椅 身 份 验证 请 


您 起 设置 此 服务 器 与 RADIUS 服务 器 一 起 工作 吗 ? 


辕 司 用 路 四 和 远程 访问 米利 连接 请 求 进 行 身 份 闭 证 他 
个 是 ， 设 置 此 服务 器 与 RADIUS 服务 器 一 起 工作 CD) 


图 9-31 选择 身份 验证 方式 


单 击 “ 下 一 步 ?按钮 , 按 系统 默认 方式 完成 配置 。 配 置 结 束 后 ,将 显示 如 图 9-32 所 示 的 
窗口 。 系 统 默认 会 自动 建立 128 个 PPTP 端口 与 128 个 L2TP 端口 ,每 一 个 端口 可 供 一 个 
VPN 客户 端 建立 连接 使 用 。 

在 日 常 应 用 中 ,用 于 VPN 连接 的 用 户 数 一 般 是 确定 的 。 这 样 ,管理 人 员 可 以 根据 实际 
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3 
文件 {E) ”操作 (A&) ”查看 (WD 帮助 (H) 


外 | 外 | 加 | 贸 国 局 | 岛 


设备 
rc PARALLEL 
各 a” Fm 微型 端口 (PPTP) (VPN4-99) VPN 
rrr Sa 之 WAN 微型 端口 (PPTP) (YPN4-98) YPN RAS/ 路 由 不 活动 
上 和 让 各 可 检 清 O)。 | 壹 wan (PPP) (vpnt97 ven Ras 避 由 不 活动 
下 千夫 总 waN 微型 端口 (PPTP) (YPN4-96) YEN RAS| 跑 由 不 活动 
年 划 太 路 由 澡 WwaN 微型 端口 (PPTP) (YPN4-95) VPN RAS/ 路 由 不 活动 
告 DHcp 中 继 代 理 程序 吕 waN 微型 端口 (PPTP) (VPN4-94) YPN RAS 侣 由 不 活动 
可 Iawp 如 wan 党 型 请 口 (PPTP) (yPN4-93) YPN RAs| 蚁 由 不 活动 
由 车 远程 访问 第 略 癌 wan 微型 端口 (PPTP) (VPN4-92) YPN RAS| 路 由 不 活动 
由 国 远程 访问 记录 总 waN 微型 端口 (PPTP) (VPN4-91) YPN RAS/ 路 由 不 活动 
莒 Wa 微型 端口 (PPTP) (YPN4-90) YPN RAS 路 由 不 活动 
总 wan 微型 端口 (PPTP) (VPN4-9) YPN RA5 凡 由 不 活动 
他 WAN 微型 端口 (PPTP) (VPN4-89) VPN RAS/ 跑 由 不 活动 
癌 waN 袜 型 端口 (PPTP) (YPN4-88) YPN RA5| 路 由 不 活动 
藻 waN 被 型 端口 (PPTP) (YPN4-87) YPN RA5 吕 由 不 活动 
记 WAn 微型 端口 (PPTP) (YPN4-86) VPN RAS 路 由 不 活动 | 
| | 


图 9-32 系统 提供 的 VPN 端口 


分 配 的 VPN 用 户 数 增加 或 减少 VPN 端口 的 数量 。 具 体 方 法 为 : 在 如 图 9-32 所 示 的 窗口 
中 选取 “端口 ”, 单 击 鼠 标 右键 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,将 打开 如 图 9-33 所 示 
的 “端口 属性 ?对 话 框 。 选 取 使 用 的 端口 协议 (本 例 为 PPTP) ,然后 单 击 “配置 "按钮 ,在 打开 
的 如 图 9-34 所 示 的 对 话 框 中 重新 配置 VPN 端口 的 数量 。 
EE Jo 
设备 | 
路 由 和 远程 访问 (RRAS) 使 用 下 列 设 备 。 


名 和 全 用 ”|[ 类 型 [端口 数 | 

IBH Integrated SBK Modem RAS/ 路 由 调制 

YA 证 型 沈 DTPPOE) 路 由 x 
TI 二 您 可 以 使 用 此 设备 进行 远程 访问 请 求 找 号 连接 。 

远程 访问 连接 ( 疏 入 站 ) QR) 


太 请 求 拨号 路 由 选择 连接 (入 站 和 出 站 ) @) 
三 请 求 技 号 路由 庄 按 ( 仅 出 站 ) 如) 


此 设备 的 电话 号 码 中: IE 


您 可 以 为 支持 多 重 端口 的 设备 设置 最 多 端口 数 限制 。 


景 多 端口 数 如 ， 操 ” 习 


Ce | ws | 


图 9-33 ”选择 PPTP 对 应 的 端口 图 9-34 重新 设置 最 多 端口 数 


9.6.2 为 用 户 分 配 远程 访问 权限 


系统 默认 所 有 用 户 都 不 具有 远程 访问 的 权限 ,这 时 VPN 客户 端 是 无 法 连接 到 该 VPN 
服务 器 的 。 可 以 通过 以 下 方法 来 添加 远程 VPN 用 户 。 由 于 VPN 服务 器 不 一 定 是 一 台 域 
控制 器 ,所 以 下 面 的 设置 也 要 分 两 种 情况 。 


1. VPN 服务 器 不 是 域 控制 器 

当 VPN 服务 器 是 一 台 运 行 Windows Server 2003 的 独立 计算 机 时 ,可 以 通过 以 下 的 方 
法 进行 设置 。 

(1) 选择 “开始 ”一 “程序 ”~* 管 理工 具 ”-“ 计 算 机 管理 ”~* 系 统 工具 ”一 “本 地 用 户 和 
组 ”>“ 用 户 ”, 打 开 如 图 9-35 所 示 的 窗口 。 

(2) 在 “用 户 ” 列 表 中 选取 要 进行 VPN 拨号 连接 的 用 户 账号 (如 wq, 这 些 账号 需要 事先 
创建 )。 单 击 鼠 标 右键 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,在 打开 的 对 话 框 中 选择 “ 挨 
入 ”选项 卡 , 打 开 如 图 9-36 所 示 的 对 话 框 。 首 先 在 “远程 访问 权限 ( 拨 入 或 VPN) ?选项 区 域 
中 选择 “允许 访问 ” 单 选 按 钮 ,然后 在 “ 回 拨 选 项 ”选项 区 域 中 选择 是 否 进行 回 拨 。 出 于 安全 
考虑 ,对 于 重要 的 一 些 远 程 访问 ,可 以 选择 “总 是 回 拨 到 ” 单 选 按 钮 ,然后 在 后 面 的 文本 框 中 
输入 回 拨 的 电话 号 码 。 这 样 ,即使 有 人 知道 了 远程 用 户 的 账户 名 称 和 密码 ,由 于 回 拨 的 电话 
号 码 是 固定 的 ,所 以 该 连接 是 安全 的 。 


马 计 算 机 管理 =|Bj xl 
轧 文件 (操作 (&) ”查看 (窗口 (Ww) 帮助 (H) | 下 可 到 
委 小 | 和 由 | 四 | 回民 | 氏 


计算 机 管理 (本 地 ) 


管理 计算 机 ( 域 ) 的 内 置 帐户 
供 来 宾 访问 计算 机 或 访问 域 的 内 
这 是 一 个 帮助 和 支持 服务 的 提供 


图 9-35 显示 用 户 账号 


第 规 ”| 隶属 于 | 配置 文件 | 环境 | 会 话 
远程 控制 | “终端 服务 配置 文件 披 入 
远程 访问 权限 壬 入 或 并 有 一 一 一 一 一 一 一 一 一 一 一 

他 允许 访问 四 ) 

个 拒 阁 访问 @) 

个 通过 远程 访问 第 略 控制 访问 @) 

厂 验证 呼 中 方 ID GD) [jl 
三 回执 选项 

广 不 回 拔 台 ) 

个 由 呼叫 方 设置 ( 权 路 由 和 远程 访问 服务 ) G) 

个 总 是 加 找到 们 ): es, ,soraol 

厂 分 了 入 考 匡 地 址 @ = 
站 ”应 用 玫 态 路 由 他) 

为 此 拔 入 连接 定义 要 启用 的 路 由 。 荐 过 路 出 上 7 


图 9-36 设置 拨号 属性 


VPN 技术 及 应 用 


击 心 收 


计算 机 网 络 安 全 技术 


2. 远程 访问 服务 器 是 域 控制 器 

如 果 VPN 服务 器 是 一 台 运行 活动 目录 (Active Directory) 的 域 控 制 器 , 则 可 以 通过 以 
下 的 方法 进行 设置 。 

(1) 选择 “开始 ”一 “程序 ”一 “管理 工具 ”>“Active Directory 用 户 和 计算 机 ”, 打 开 
“Active Directory 用 户 和 计算 机 ”窗口 。 

(2) 选取 用 户 账号 , 单 击 鼠标 右键 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,在 打开 的 对 
话 框 中 选择 “ 拨 入 ”选项 卡 ,将 打开 类 似 于 如 图 9-36 所 示 的 对 话 框 。 设 置 方法 与 图 9-36 基 
本 相同 。 


9.6.3 在 VPN 客户 端 建立 VPN 氛 号 连接 


在 确保 VPN 已 经 能 够 连接 到 Internet 的 前 提 下 进行 如 下 操作 ,本 实验 中 所 使 用 的 操作 
系统 为 Windows XP Professional。 关 于 客户 端 如 何 通过 Modem 拨号 .ADSL 拨号 或 局 域 
网 等 方式 接 入 Internet 的 方法 读者 可 自行 完成 ,在 此 不 再 袭 述 。 

(1) 在 桌面 上 选取 “网 上 邻居 ”, 单 击 鼠 标 右键 ,在 弹出 的 快捷 菜单 中 选取 “属性 ”命令 ， 
打开 “网 络 连接 "窗口 。 

(2) 单 击 “ 创 建 一 个 新 的 连接 ”, 出 现 “ 欢 迎 使 用 新 建 连接 向 导 ” 对 话 框 。 

(3) 单 击 * 下 一 步 ?按钮 ,在 打开 的 如 图 9-37 所 示 的 对 话 框 中 选取 “连接 到 我 的 工作 场 
所 的 网 络 " 单 选 按钮 。 

新 建 连接 么 导 


人 


个 连接 到 Tateraet CC) 
Internet， 这 衬 您 就 可 以 浏览 heb 或 阅读 电子 郎 件 。 


连接 到 我 的 工作 场所 的 同 络 @) 
ES (使 用 找 导 或 VP) ， 这 样 悠 就 可 以 在 家 里 或 者 其 它 地 


三 设置 家 庭 或 小 型 办 公 网 络 (5) 
公 网 络 ， 或 者 设置 一 个 新 的 。 


三 设置 高 级 连接 到 ) 人 
山 叶 5 直接 连接 到 其 它 计算 机 ， 或 设置 此 计算 机 使 其 它 


了 | 


图 9-37 选择 网 络 连接 类 型 


(4) 单 击 * 下 一 步 ?按钮 ,在 打开 的 如 图 9-38 所 示 的 对 话 框 中 选取 “虚拟 专用 网 络 连 接 ” 
单 选 按 钮 。 

(5) 单 击 * 下 一 步 ?按钮 ,在 打开 的 如 图 9-39 所 示 的 对 话 框 中 的 “公司 名 ”文本 框 中 输入 
VPN 连接 的 名 称 。 

(6) 单 击 “ 下 一 步 ” 按 钮 ,在 打开 的 如 图 9-40 所 示 的 对 话 框 中 输入 远程 VPN 服务 器 的 
IP 地 址 。 


9-39 输入 公司 名 称 


第 
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章 


9-40 输入 VPN 服务 器 的 IP 地址 
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(7) 单 击 * 下 一 步 ?按钮 ,打开 如 图 9-41 所 示 的 对 话 框 。 当 确认 前 面 的 设置 无 误 后 , 单 
击 “ 完 成 按钮。 为 了 便于 将 来 的 操作 ,建议 选取 “在 我 的 桌面 上 添加 一 个 到 此 连接 的 快捷 方 
之 后 ,就 可 以 通过 已 创建 的 VPN 连接 来 登录 VPN 服务 器 ,VPN 客户 端的 连接 界面 如 
图 9-42 所 示 。 输 入 VPN 用 户 的 账号 和 对 应 的 密码 ,就 可 以 通过 PPTP 方式 拨号 到 VPN 服 


FEEEEER 
正在 完成 新 建 连接 向 导 ES la 
您 已 成 功 完成 创建 下 列 广 接 需 要 的 步 又 


校本 部 
* 与 此 计算 机 上 的 所 有 用 户 共享 


此 连接 将 被 存 入 “网 络 连 接 "文件 来 

BI [rn 

厂 为 下 面 用 户 保存 用 户 名 和 密码 @) N 

要 创建 此 连接 并 关闭 向 导 ， 单 击 “ 完 成 ”。 ® 
[of 


复 机 的 天 
取消 取消 属性 @) Ww | 


网 竹 我 的 梨 面 上 湛 加 一 个 到 此 连接 的 癸 一 方式 @ 


图 9-41 完成 VPN 客户 端 连接 的 建立 图 9-42 VPN 客户 端 拨号 操作 界面 


需要 注意 的 是 ,在 进行 VPN 拨号 连接 之 前 , VPN 客户 端 必须 先 要 能 够 连接 到 
Internet 上 。 

当 VPN 客户 端 连接 到 VPN 服务 器 并 成 功 建立 了 VPN 连接 后 ,就 可 以 与 VPN 服务 器 
及 VPN 服务 器 端的 局 域 网 进行 通信 。 通 信 中 既 可 以 使 用 对 方 的 IP 地 址 (如 图 9-43 所 示 )， 
也 可 以 使 用 对 方 的 计算 机 名 称 (NetBIOS 计算 机 名 称 , 如 图 9-44 所 示 ), 使 用 方法 与 局 域 网 
内 部 没有 什么 区 别 。 同 时 ,也 可 以 通过 Web 方式 访问 内 部 网 络 中 的 可 Web 化 应 用 资源 ,如 
内 部 网 络 中 的 Web 服务 .FTP 服务、Webmail 服务 等 。 


运行 了 [xl 运行 EE 
es OE. We 
EE rE | vi 1 “加 

Cm ] Ww | Wo... 取消 “| 浏览 加 


图 9-43 通过 IP 地址 进行 访问 图 9-44 通过 对 方 计算 机 名 称 进行 访问 


管理 员 可 以 在 VPN 服务 器 上 通过 检查 VPN 端口 的 使 用 情况 来 查看 目前 有 多 少 个 
VPN 用 户 连 接 在 该 服务 器 上 ,如 图 9-45 所 示 。 其 中 ,“ 状 态 ” 为 “活动 ”的 端口 表示 正在 使 
用 ， 活 动 ?端口 的 数量 反映 了 VPN 连接 的 用 户 数 。 


大 上 本 


ET 
外 | 四 | 加 | 加 加 | 岛 


到 请 Keb 微型 端口 (PPTP) (YPN4-99) 
渤 息 沪 和 i 光 户 山 AN 微型 庙 口 (PPTP) (VPN4-96) 
县 过 访问 可 记 靖 四 着 ww ea es ne 
中 号 王 和 这 wan 微型 端口 (PPTP) (vPN4-96) 


入 waN 微型 端口 (PPTP) (yPN4-95) 
静态 路 由 和 

这 DHcP 中 继 代 理 程序 | 这 wan 油 型 请 口 (PPTP) (VPN4-94) 

时 Iowp 癌 wan 沿 型 英 口 ppTP) (vpN4-93) 


于 远 程 访问 策 咯 癌 WaN 微 型 端口 (PPTP) (VPN4-92) 
四 回 远程 访问 记录 六 waN 油 型 病 D (PPTP) (YPN4-91) 
如 wan 党 型 请 口 (PPTP) (VPN4-90) 

如 wan 赏 型 靖 口 (PPTP) (yPN4-9) 

总 Way 微型 端口 (PPTP) (YPN4-89) 

癌 waN 袜 型 端口 (PPTP) (YPN4-88) 

王 waN 油 型 端口 (ppTP) (ypPN4-67) 

僻 wAn 微型 端口 (PPTP) (VPN4-86) 


EE 二 让 直下 二 非 让 此 提 让 担 提 = 


图 9-45 通过 端口 状态 查看 VPN 的 连接 情况 


习 题 


9-1 什么 是 VPN 技术 ? 与 传统 的 应 用 专线 连接 相 比 ,VPN 有 何 特 点 ? 

9-2 ”分 别 介 绍 内 联网 VPN、 外 联网 VPN 和 远程 接 入 VPN 的 组 网 特点 。 

9-3 ”结合 图 9-5 所 示 的 隧道 工作 示意 图 ,描述 隧道 的 工作 原理 及 应 用 特点 。 

9-4 在 隧道 建立 过 程 中 ,主动 式 隧道 与 被 动 式 隧 道 有 何不 同 ? 

9-5 结合 OSI 参考 模型 各 层 的 功能 划分 , 试 分 析 第 二 层 隧道 协议 和 第 三 层 隧道 协议 的 


9-6 ”对 比分 析 第 二 层 隧道 协议 LLTP、L2TP 和 L2F 的 实现 原理 及 应 用 特点 。 

9-7” 简 述 GRE 隧道 的 形成 过 程 及 应 用 特点 。 

9-8 分 析 IPSec 的 安全 体系 ,掌握 IKE、AH 和 ESP 的 功能 及 实现 方法 。 

9-9 结合 IP 技术 和 ATM 技术 ,介绍 MPLS 的 技术 优势 及 实现 原理 。 

9-10 结合 MPLS 的 实现 原理 ,介绍 MPLS VPN 的 数据 转发 过 程 。 

9-11 与 MPLS VPN 相 比 ,SSL VPN 有 何 应 用 特点 ? 

9-12 ” 简 述 基于 标准 Web 浏览 器 方式 的 SSL VPN 的 工作 过 程 。 

9-13 ”利用 单位 网 络 (如 校园 网 ) 已 有 的 条 件 , 组 建 一 台 VPN 服务 器 ,供用 户 在 外 部 (如 


家 中 ) 拨 号 来 访问 内 部 的 网 络 资源 。 


VPN 技术 及 应 用 
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